什麼是密碼策略以及如何創建密碼策略?

已發表: 2023-01-26

密碼洩露是數據洩露的主要原因。 事實上,超過 80% 的與黑客相關的違規行為都是由密碼相關問題引起的。 強密碼策略有助於確保您企業中的每個人都使用強密碼。

那麼什麼是密碼策略呢? 如何創建標準密碼策略? 什麼是密碼策略最佳實踐? 下面就來一探究竟吧。



什麼是密碼策略?

密碼策略是一套指導方針,使公司中的每個人都創建一個強密碼並正確使用它們以增強計算機安全和在線安全。

標準密碼策略包括用戶在創建、更改、存儲或共享密碼時需要考慮的事項以及應避免的事項。

例如,您的密碼策略可以規定用戶必須創建更長的密碼,包括一定數量的特殊字符。

根據組織的需要,您可以將密碼策略設為建議性或強制性。

為什麼密碼策略很重要?

密碼策略可以幫助您在企業中強制使用強而獨特的密碼,以增強密碼安全性。

以下是為什麼實施強密碼安全策略對您的業務至關重要的主要原因:

  • 密碼重用是一個安全錯誤。 密碼策略可以快速排除密碼重複使用的做法
  • 強大的密碼策略和多因素身份驗證條款可幫助您在很大程度上降低各種安全風險
  • 公司中的每個人都將開始創建複雜的密碼並安全地存儲它們。 因此,您的密碼將免受暴力攻擊和其他與密碼相關的攻擊
  • 強大的密碼策略向您的客戶和供應商發出信號,表明您正在採取嚴格的措施來保護密碼。 這有助於與他們建立信任

最後但同樣重要的是,密碼政策培養了一種在當今世界至關重要的網絡安全文化,因為小型企業越來越多地成為各種類型的網絡安全攻擊的目標。

密碼政策

如何創建標準密碼策略

以下是創建強密碼策略的分步過程:

1.設置密碼複雜度要求

系統管理員或 IT 部門應設置密碼複雜性準則以確保創建強密碼。

以下是密碼策略中包含的基本密碼要求,以幫助用戶避免創建弱密碼:

  • 密碼長度至少應為十個字符(越長越好)
  • 用戶必須在密碼中包含大寫字母、小寫字母和特殊字符
  • 包括拼寫錯誤的單詞是創建複雜密碼的好策略

蠻力攻擊和字典攻擊可以破解簡單的密碼。 因此,您的密碼策略必須具有復雜性要求,以鼓勵用戶創建防黑客密碼。

2.創建密碼拒絕列表

除了規定用戶應該做什麼之外,您的密碼策略還應該說明用戶在創建密碼時必須避免的事情。

密碼拒絕列表可以包括以下內容:

  • 個人相關信息,如姓名、出生日期、出生地、職務等。
  • 電話號碼、門牌號碼或街道號碼
  • 配偶、子女或親人的姓名
  • 在多個帳戶上重複使用相同的密碼

作為經驗法則,您的密碼策略的拒絕列表應包括任何類型的個人信息或簡單模式(如 QWERTY 到 123456)。

3.設置密碼有效期

設置密碼有效期背後的主要思想是,黑客將不知道他們在舊數據洩露中找到的密碼是否有效。

例如,您的密碼在兩個月前的數據洩露事件中洩露。 而且您每個月都更改密碼。 黑客將無法使用洩露的密碼訪問您的帳戶。

理想情況下,密碼有效期應設置為三個月。 但您可以根據業務需要調整此期限。 此外,您應該確保您的員工不會為其他帳戶重複使用相同的密碼。

4.強制執行多重身份驗證

多重身份驗證 (MFA) 可以提高您企業中帳戶的安全性。 這是因為即使黑客掌握了這些帳戶的登錄名和密碼,他們也無法訪問這些帳戶。

因此,您的密碼策略必須強制要求用戶為所有允許此功能的帳戶實施 MFA。

5.包括帳戶鎖定閾值

帳戶鎖定閾值允許用戶帳戶在一定次數的登錄嘗試失敗後被鎖定。 此功能可保護您的帳戶免受暴力攻擊和字典攻擊。

理想情況下,您可以將帳戶鎖定閾值設置為五次登錄嘗試失敗。 這包括實施 15 分鐘的帳戶鎖定期。

6. 有關於如何存儲密碼的指南

您知道 55% 的員工將密碼保存在便利貼中嗎? 您的員工存儲密碼的方式會影響密碼安全性。

將密碼存儲在電子郵件、手機上的筆記應用程序、紙質筆記和計算機上的文檔中是一種不好的做法。 這樣做會削弱密碼的安全性,即使密碼又長又復雜。

因此,您的密碼安全策略必須包括安全存儲密碼的明確指南。 一種方法是使用密碼管理器,它將您的密碼加密並安全地存儲在主密碼後面。

雖然現在大多數瀏覽器都有存儲密碼的功能,但使用密碼管理器來存儲密碼是一種更安全的選擇。 密碼管理器還提供了在不同用戶之間共享密碼的安全方式。

7. 為違反政策的人設定後果

您已創建密碼安全策略來保護計算機和在線帳戶。 所以每個人都應該虔誠地遵循它。 為那些經常違反政策的人設置一些後果是鼓勵所有用戶遵守密碼政策的好主意,

但是,您應該想出一些有創意的方法讓違反密碼策略的人覺得他們犯了錯誤。 任何嚴厲的懲罰都會將他們變成內部威脅。

為政策違規者提供更多意識培訓課程,並鼓勵他們遵守密碼政策。 但是,如果有人不顧多次警告反复犯錯,最好的選擇就是讓他們離開,因為他們會危及您的業務。

8. 定期更新您的密碼政策

您的密碼政策不應該是一成不變的。 相反,您應該不時檢查您的密碼策略並檢查它是否成功:

  • 確保用戶創建長而復雜的密碼
  • 防止用戶創建易於破解的新密碼
  • 鼓勵用戶按照策略中的建議經常更改密碼
  • 防止用戶對多個帳戶使用相同的密碼

根據定期密碼審核中的觀察結果調整您的密碼策略,可幫助您創建穩健的密碼策略,以增強業務中的密碼安全性。

密碼策略最佳實踐

以下是最大限度地提高密碼策略成功率的最佳做法:

1. 有一個易於訪問的密碼策略

策略指南應進行組織,以便用戶可以輕鬆瀏覽密碼創建和密碼存儲等不同部分。

準備密碼策略的硬拷貝和軟拷貝,以確保用戶可以按照他們想要的方式訪問它。

2.採用密碼管理系統

在您的策略中包括強制使用密碼管理器可以在很大程度上加強密碼安全性。 如何?

如今,員工需要創建多個密碼。 為每個帳戶創建一個唯一的密碼對許多用戶來說可能是個問題。 密碼管理器可以立即創建一個難以破解的密碼,並安全地保存多個密碼。

3.禁止不安全的密碼共享

當多個員工在一個項目上工作時,在用戶之間共享密碼是當今商業環境中的常見做法。

為提高密碼安全性,您應確保沒有人通過短信、電子郵件或即時消息共享密碼。 安全密碼共享是提高密碼安全性的必要條件。 所有著名的密碼管理器都允許用戶安全地共享密碼。

4.實現登錄時間

員工應僅在使用時登錄帳戶和系統。 在沒有人使用帳戶和系統時保持登錄狀態是一種糟糕的網絡安全做法。 而密碼政策應該嚴格禁止這種做法。

5.定期進行密碼審核

將密碼審核作為一種常規做法,以檢查密碼策略的有效性。 這將幫助您找出密碼政策的改進領域,以最大限度地取得成功。

什麼是 NIST 密碼準則?

NIST 密碼的基本準則包括但不限於創建至少八個字符長的密碼、強調長度而不是複雜性、打開“顯示密碼”設置、實施雙因素或多因素身份驗證以及避免頻繁更改密碼。

複雜密碼是否與最小密碼長度一樣重要?

複雜性和密碼長度都是創建難以破解的密碼所必需的。 但是選擇更複雜的密碼而不是更長的密碼會使用戶難以記住密碼。 如果公司使用密碼管理器應用程序,則建議最大限度地增加長度和復雜性。

應該多久更改一次密碼?

大多數網絡安全專家建議密碼應每三個月更改一次。 所有優秀的密碼管理器通常都有一項功能,可以判斷是否在任何數據洩露事件中找到了保存的密碼。 如果密碼遭到任何數據洩露,您應該立即更改密碼。

小型企業應該使用密碼管理器嗎?

是的,小型企業應該使用密碼管理器。 密碼管理器應用程序可以幫助您的員工創建複雜的密碼、安全地存儲密碼以及安全地共享密碼。 使用密碼管理器可提供可靠的密碼保護。

什麼是理想的密碼策略?

理想的密碼策略強調創建難以破解的密碼、安全地存儲密碼以及為不同的帳戶使用不同的密碼。 它還強調經常更改舊密碼。

你可能還喜歡:

  • 共享企業 WiFi 密碼並不難,像這樣使用二維碼

圖片:Envato 元素


更多內容:網絡安全