密码政策最佳实践 – 我们的建议

拥有强大的密码策略是您的第一道防线。许多用户都意识到使用易于猜测的密码会带来安全风险，但他们通常还是选择了一个。我们知道，被要求记住复杂的密码，却又被要求每 90 天更改一次，这可能会令人沮丧。因此，系统管理员有必要与员工进行推理，并确保他们了解制定强大的密码策略的重要性。你需要让他们相信你这样做不仅仅是为了让他们的生活变得更加困难。

Microsoft Active Directory 具有密码策略功能，使您能够强制使用强密码。它还允许您配置帐户锁定策略，用于确保攻击者无法使用暴力攻击轻松猜测密码。 Active Directory 还允许您为不同的域配置不同的策略。在制定强密码策略时，您应该牢记许多最佳实践。

强密码

我们建议您在密码中使用至少 10 个字符。从长远来看，使用廉价的密码破解设备可以在不到 3 小时的时间内破解 8 个字符的 Windows 密码。如果您希望密码超级安全，您可以选择强制使用 15 个字符的密码。当然，您需要防止工作人员使用易于猜测的密码，例如“password12”、字典单词、默认密码、电话号码、车牌号或任何可以以某种方式与他们相关的内容。

密码保护

保护密码可能会稍微棘手一些。当密码变得过于复杂时，工作人员会将其写在便利贴上，从而完全破坏密码政策的目标。因此，阻止他们这样做很重要，也许鼓励他们使用密码管理工具。当然，他们仍然需要记住一个复杂的主密钥，但如果他们有许多不同的密码需要记住，事情就会变得更容易。

检查密码是否以安全的方式发送到服务器也很重要。例如，与标准“http”协议相比，通过“https”发送信息更安全。

密码必须每 90 天更改一次，密码短语则必须每 180 天更改一次。然而，一些研究表明，最好减少更改密码的频率，因为“需要更改密码的用户通常会首先选择较弱的密码，然后以攻击者可以轻松猜到的可预测方式更改密码。” ” 工作人员还应该谨慎行事，不要让人们在输入密码时偷看。

虽然系统管理员无法强制执行，但应劝阻工作人员在包含敏感数据的多个应用程序上使用相同的密码。

使用 Active Directory 进行密码保护

Active Directory 具有“强制执行密码历史记录”策略设置，可以设置该设置来确定在重复使用旧密码之前必须使用的唯一密码的数量。其他有用的设置包括“最短密码期限”和“密码必须满足复杂性要求”。

Active Directory 不提供的一件事是自动密码过期通知工具。手动提醒用户重置密码显然不是最有效的方法，特别是当有可用的工具可以自动化该过程时。 Lepide数据安全平台等工具能够通过电子邮件提供自动密码提醒。电子邮件是完全可定制的，如果用户未能采取行动，可以发送后续通知。该解决方案还配备了直观的控制台，可显示单个或多个域中过期密码和即将过期密码的完整摘要。