上周我讨论了所有密码至少要有12-18个字符以保证安全的必要性. 虽然这是绝对的安全要求, 我们都知道,我们的用户会对这一政策变化感到非常不满. 也, 这些长而杂乱的密码很容易被缓存到浏览器中(你应该已经在所有浏览器上屏蔽了),或者更糟的是——把密码写下来,贴在用户的显示器上.
APP客户端花絮-使密码更简单和更难
上周我讨论了所有密码至少要有12-18个字符以保证安全的必要性. 虽然这是绝对的安全要求, 我们都知道,我们的用户会对这一政策变化感到非常不满. 也, 这些长而杂乱的密码很容易被缓存到浏览器中(你应该已经在所有浏览器上屏蔽了),或者更糟的是——把密码写下来,贴在用户的显示器上.
然而,密码短语是记住较长密码的另一种方法. 例如,随机选择四个没有关系的单词:
正确的马电池钉
这个密码几乎是破解不了的. 它将需要大约550年的时间才能以每秒1000次的猜测速度被打破.
这个密码很容易记住,比你现在需要输入的任何18个字符的半乱码要好得多.
在过去的20年里, 我们已经成功地训练用户使用对我们的用户来说极难记住的密码, 但是对于计算机来说是非常容易猜出来的.
这种情况必须改变.
我们有一个问题,我们已经知道密码短语是一种更好的密码方式. 然而, 审计人员, 粒度密码策略, 历史标准批评和/或阻止我们使用这些更强大的, 容易记住的密码.
我相信这个冲突可以简单地解决.
正确的马电池钉书钉可以变成正确的马电池钉书钉2#,它神奇地满足了同样的标准,同时大大加强了用户的密码,仍然很容易记住.
如果您没有在浏览器中阻止密码缓存,或者需要帮助修改密码复杂度策略, 让我们知道.
-Scott Quimby, CISSP
P.S. 下一次CSI网络安全活动将于12月6日星期三举行. 详情请联系Lisa.
最近的评论