什么是密码策略以及如何创建密码策略?

已发表: 2023-01-26

密码泄露是数据泄露的主要原因。 事实上,超过 80% 的与黑客相关的违规行为都是由密码相关问题引起的。 强密码策略有助于确保您企业中的每个人都使用强密码。

那么什么是密码策略呢? 如何创建标准密码策略? 什么是密码策略最佳实践? 下面就来一探究竟吧。



什么是密码策略?

密码策略是一套指导方针,使公司中的每个人都创建一个强密码并正确使用它们以增强计算机安全和在线安全。

标准密码策略包括用户在创建、更改、存储或共享密码时需要考虑的事项以及应避免的事项。

例如,您的密码策略可以规定用户必须创建更长的密码,包括一定数量的特殊字符。

根据组织的需要,您可以将密码策略设为建议性或强制性。

为什么密码策略很重要?

密码策略可以帮助您在企业中强制使用强而独特的密码,以增强密码安全性。

以下是为什么实施强密码安全策略对您的业务至关重要的主要原因:

  • 密码重用是一个安全错误。 密码策略可以快速排除密码重复使用的做法
  • 强大的密码策略和多因素身份验证条款可帮助您在很大程度上降低各种安全风险
  • 公司中的每个人都将开始创建复杂的密码并安全地存储它们。 因此,您的密码将免受暴力攻击和其他与密码相关的攻击
  • 强大的密码策略向您的客户和供应商发出信号,表明您正在采取严格的措施来保护密码。 这有助于与他们建立信任

最后但同样重要的是,密码政策培养了一种在当今世界至关重要的网络安全文化,因为小型企业越来越多地成为各种类型的网络安全攻击的目标。

密码政策

如何创建标准密码策略

以下是创建强密码策略的分步过程:

1.设置密码复杂度要求

系统管理员或 IT 部门应设置密码复杂性准则以确保创建强密码。

以下是密码策略中包含的基本密码要求,以帮助用户避免创建弱密码:

  • 密码长度至少应为十个字符(越长越好)
  • 用户必须在密码中包含大写字母、小写字母和特殊字符
  • 包括拼写错误的单词是创建复杂密码的好策略

蛮力攻击和字典攻击可以破解简单的密码。 因此,您的密码策略必须具有复杂性要求,以鼓励用户创建防黑客密码。

2.创建密码拒绝列表

除了规定用户应该做什么之外,您的密码策略还应该说明用户在创建密码时必须避免的事情。

密码拒绝列表可以包括以下内容:

  • 个人相关信息,如姓名、出生日期、出生地、职务等。
  • 电话号码、门牌号码或街道号码
  • 配偶、子女或亲人的姓名
  • 在多个帐户上重复使用相同的密码

作为经验法则,您的密码策略的拒绝列表应包括任何类型的个人信息或简单模式(如 QWERTY 到 123456)。

3.设置密码有效期

设置密码有效期背后的主要思想是,黑客将不知道他们在旧数据泄露中找到的密码是否有效。

例如,您的密码在两个月前的数据泄露事件中泄露。 而且您每个月都更改密码。 黑客将无法使用泄露的密码访问您的帐户。

理想情况下,密码有效期应设置为三个月。 但您可以根据业务需要调整此期限。 此外,您应该确保您的员工不会为其他帐户重复使用相同的密码。

4.强制执行多重身份验证

多重身份验证 (MFA) 可以提高您企业中帐户的安全性。 这是因为即使黑客掌握了这些帐户的登录名和密码,他们也无法访问这些帐户。

因此,您的密码策略必须强制要求用户为所有允许此功能的帐户实施 MFA。

5.包括帐户锁定阈值

帐户锁定阈值允许用户帐户在一定次数的登录尝试失败后被锁定。 此功能可保护您的帐户免受暴力攻击和字典攻击。

理想情况下,您可以将帐户锁定阈值设置为五次登录尝试失败。 这包括实施 15 分钟的帐户锁定期。

6. 有关于如何存储密码的指南

您知道 55% 的员工将密码保存在便利贴中吗? 您的员工存储密码的方式会影响密码安全性。

将密码存储在电子邮件、手机上的笔记应用程序、纸质笔记和计算机上的文档中是一种不好的做法。 这样做会削弱密码的安全性,即使密码又长又复杂。

因此,您的密码安全策略必须包括安全存储密码的明确指南。 一种方法是使用密码管理器,它将您的密码加密并安全地存储在主密码后面。

虽然现在大多数浏览器都有存储密码的功能,但使用密码管理器来存储密码是一种更安全的选择。 密码管理器还提供了在不同用户之间共享密码的安全方式。

7. 为违反政策的人设定后果

您已创建密码安全策略来保护计算机和在线帐户。 所以每个人都应该虔诚地遵循它。 为那些经常违反政策的人设置一些后果是鼓励所有用户遵守密码政策的好主意,

但是,您应该想出一些有创意的方法让违反密码策略的人觉得他们犯了错误。 任何严厉的惩罚都会将他们变成内部威胁。

为政策违规者提供更多意识培训课程,并鼓励他们遵守密码政策。 但是,如果有人不顾多次警告反复犯错,最好的选择就是让他们离开,因为他们会危及您的业务。

8. 定期更新您的密码政策

您的密码政策不应该是一成不变的。 相反,您应该不时检查您的密码策略并检查它是否成功:

  • 确保用户创建长而复杂的密码
  • 防止用户创建易于破解的新密码
  • 鼓励用户按照策略中的建议经常更改密码
  • 防止用户对多个帐户使用相同的密码

根据定期密码审核中的观察结果调整您的密码策略,可帮助您创建稳健的密码策略,以增强业务中的密码安全性。

密码策略最佳实践

以下是最大限度地提高密码策略成功率的最佳做法:

1. 有一个易于访问的密码策略

策略指南应进行组织,以便用户可以轻松浏览密码创建和密码存储等不同部分。

准备密码策略的硬拷贝和软拷贝,以确保用户可以按照他们想要的方式访问它。

2.采用密码管理系统

在您的策略中包括强制使用密码管理器可以在很大程度上加强密码安全性。 如何?

如今,员工需要创建多个密码。 为每个帐户创建一个唯一的密码对许多用户来说可能是个问题。 密码管理器可以立即创建一个难以破解的密码,并安全地保存多个密码。

3.禁止不安全的密码共享

当多个员工在一个项目上工作时,在用户之间共享密码是当今商业环境中的常见做法。

为提高密码安全性,您应确保没有人通过短信、电子邮件或即时消息共享密码。 安全密码共享是提高密码安全性的必要条件。 所有著名的密码管理器都允许用户安全地共享密码。

4.实现登录时间

员工应仅在使用时登录帐户和系统。 在没有人使用帐户和系统时保持登录状态是一种糟糕的网络安全做法。 而密码政策应该严格禁止这种做法。

5.定期进行密码审核

将密码审核作为一种常规做法,以检查密码策略的有效性。 这将帮助您找出密码政策的改进领域,以最大限度地取得成功。

什么是 NIST 密码准则?

NIST 密码的基本准则包括但不限于创建至少八个字符长的密码、强调长度而不是复杂性、打开“显示密码”设置、实施双因素或多因素身份验证以及避免频繁更改密码。

复杂密码是否与最小密码长度一样重要?

复杂性和密码长度都是创建难以破解的密码所必需的。 但是选择更复杂的密码而不是更长的密码会使用户难以记住密码。 如果公司使用密码管理器应用程序,则建议最大限度地增加长度和复杂性。

应该多久更改一次密码?

大多数网络安全专家建议密码应每三个月更改一次。 所有优秀的密码管理器通常都有一项功能,可以判断是否在任何数据泄露事件中找到了保存的密码。 如果密码遭到任何数据泄露,您应该立即更改密码。

小型企业应该使用密码管理器吗?

是的,小型企业应该使用密码管理器。 密码管理器应用程序可以帮助您的员工创建复杂的密码、安全地存储密码以及安全地共享密码。 使用密码管理器可提供可靠的密码保护。

什么是理想的密码策略?

理想的密码策略强调创建难以破解的密码、安全地存储密码以及为不同的帐户使用不同的密码。 它还强调经常更改旧密码。

你可能还喜欢:

  • 共享企业 WiFi 密码并不难,像这样使用二维码

图片:Envato 元素


更多内容:网络安全