為什麼這篇密碼設定原則鄉民發文收入到精華區:因為在密碼設定原則這個討論話題中,有許多相關的文章在討論,這篇最有參考價值!作者SlimeEditor (菜瓜布)看板NetSecurity標題Re: [閒聊] 密碼管理原則時...
密碼設定原則 在 貓足跡 | 抽獎進行中 美食 攝影 生活 旅遊 開箱 Instagram 的最佳貼文
2021-09-10 20:50:34
#狂想塔羅解密 #狂想塔羅 #線上課程 #曼陀羅禪卡 #LGT語言引導 #防疫學習不中斷 放暑假囉~但是因為疫情的關係不能像以前一樣出去旅遊,這時在網路上看到有線上塔羅牌課程的教學,報名還附送一組塔羅牌,而且只要兩天就可以學會! 從小對於塔羅牌占卜、易經、紫微斗數就很好奇的貓編,立刻手刀去報名,幾天...
※ 引述《CMJ0121 (不要偷 Q)》之銘言:
: 這是某 Youtube 頻道[0]講到關於資安 (密碼) 部分的常識
: 頻道不是我創的 廣告不是我賺的 所以不想看的人可以直接看文字結論 :)
: 常見的密碼錯誤
: - 不同網站使用相同的帳號密碼
: - 密碼實體儲存 (e.g. 便利貼) 這可以參考一級玩家[1] 的劇情
: - 太短、太簡單的密碼
: - 個人化的密碼 (e.g. 寵物名稱、生日、...etc)
: - 分享密碼 <--- 這真的會發生嗎?
: - 沒有特別字符
: - 不可能記得住的密碼
: - 讓瀏覽器記住密碼
: - 使用不可靠的密碼產生器
: - 從不更改密碼 <--- 現在主流建議不用常常改
: - 不使用雙重認證
: - 使用預設密碼
上面的密碼原則有些其實是互相衝突的
例如, 不同網站使用不同的帳號密碼, 不要實體儲存, 不要讓瀏覽器記住密碼
這時沒有個人化密碼 基本上是不可能記得住使用頻率超過一週的網站帳密的
在組織使用者方面 密碼管理的難處在於 要考慮到使用者的年紀
系統數量反而不重要 畢竟是單個組織的系統
使用single sign on可以大幅減少帳密數量
年紀很重要 因為這影響到公司整體的資訊化程度 和同仁密碼管理的精細度
但即使是年紀輕的公司 可能也不要太樂觀 認為大家都記得自己的所有密碼
NIST近期新版的密碼原則指引 就洞察這點 密碼管理原則的建議寬鬆得出乎意料, 例如:
1. 密碼最小長度 8碼 (裝置產生的話是6碼)
2. 不要複雜性原則
3. 不要密碼有效期限
這三個原則就和上面的密碼原則多少有些衝突
密碼管理原則
在目前每個人的網路帳號數量越來越多的狀況下
以使用者而言 就是可以的話 開啟雙因子驗證
沒有的話 確保登入時可以收到登入資訊 (像Netflix 有新地點新裝置嘗試登入時通知)
以上都沒有的網站 就弄個只記得一次的密碼 要用時使用忘記密碼重置
以組織而言 雙因子認證要$
沒有$的單位 可以參考技服GCB的建議 透過AD設定密碼的限制
但老實說 這些限制頂多就是對使用者的束縛
實際上 攻擊者還是可以在這些密碼限制下 透過沒有雙因子認證的網站(如OWA)
有效猜測及取得使用者的密碼
: ---
: 我後來設定的密碼會使用超過 10 的字 大概是 2~3 的單詞
: 可能的話 會替換掉中間的字詞 像是 0 -> O 或者其他字詞
: 另外 有的選擇的話不要使用線上密碼產生器、碼強度驗證之類的服務
: 對於相對壞心眼的人來說 使用密碼產生器等於道這個 IP/瀏覽器的密碼
: 同理 使用密碼強度驗證... (以下略)
: [0]: https://www.youtube.com/watch?v=EaRCfmEV0DE
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.250.31.34 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1583114039.A.D49.html
推 asimon: GCB... 聽到很多單位大大聞之色變的關鍵字.. 03/04 01:58
→ SlimeEditor: fbi這篇沒有比較不同啊 大概就他說nist建議最少15碼 03/06 14:22
→ SlimeEditor: NIST 800-63b原文: Memorized secrets SHALL be at 03/06 14:23
→ SlimeEditor: least 8 characters in length if chosen by the 03/06 14:24
→ SlimeEditor: subscriber. 其他FBI跟NIST的建議其實相仿 03/06 14:24
→ SlimeEditor: 雙因子認證和告警信是我們最近做PT後的心得 03/06 14:24