1. 背景:
随着企业信息化的不断推进,企业软件业务系统数量不断增加,例如
VPN
、ERP
、邮件、OA
等,每个系统的都需要登录,有些员工会经常出差登入企业内部系统,而目前大部分系统还是采用静态密码机制,那些
强度不高、且不经常更换的密码就成了企业的风险点,如何推动员工设置高强度密码且定期修改是摆在企业
IT的一个普遍问题。
笔者就几年在密码领域的一些浅薄经验与各位分享,结合典型公司的实际问题,抛砖引玉,如果有些不到位,欢迎各位达人拍砖!
2. 方法
下面以问答形式来解决上述问题。
(1)
什么是强密码?
答:这是一个入门级问题,笔者认为强密码至少含八个字符,包括字母、数字和符号的组合,易记但他人难以猜到,另外尽量少采用特征值,如生日、电话号码之类的。
(2)
如何在公司内推动强密码且避免密码遗忘的几率?
答:密码强度比较好推行,首次设定密码时设定一次就好,虽然密码一定难记、不直觉,但是使用者久了也会无奈地习惯。
一般都需要以制度的方式透过去强制使用者要定期修改密码,并且要改成强度够的密码,上至老总、下至普通员工、上行下效。
(3)
是否任何系统都需要强密码?
答:接下来一个问题,很多员工在执行的时候,是照做了,为了方便以及,最后的结果是所有系统密码都设置同样的,那么只要一个系统密码失窃,那么其他系统在帐号被获知情况下也会遭受风险,一般来说帐号被获取比较方便,很多企业为了方便是一员工标号
+固定字段作为帐号。
比较可行的方法是安全级别高的系统,如
VPN、财务等安全级别高系统强制设定高强度密码,且务必保持唯一,其他系统则不必。
(4)
密码修改周期多长比较合适?如何推动这项事情?
答:根据公司安全级别不同,有些是
30天,一般三个月比较适宜。
定期修改密码又要配合高强度密码,到最后只好用纸本记下来免得自己忘记,反而造成更严重的漏洞,所以这件事情需要处理好。
笔者认为将密码与安全管理配合,实行问责制度,若使用者因为密码外泄而造成公司损失,则需要负担多少责任,可在
IT管理制度明确定义,若是有定期修改密码但还是被入侵者,再行斟酌,再来透过修改密码时的日志文件来进行核查,对那些超过预期的用户发出更改密码提醒,设置公告机制,分别是预警、警告,强制修改。对于那些无视强制修改的用户,不更换账号立刻停用
(上至老总下至临时员工一视同仁
),然后使用者有接口让其在身份确认后自行重新启用账号。
以下是一些网友对于定期修改密码的看法:
网游(阿紫)
虽然难记,
还是要习惯阿
不过我觉得时间大约是
3个月最适合
不长也不短
密码最好加入一些特殊字符
不过有些公司不开放
网友(
ping)
看来大家好像都是三个月换一次
像我们公司是一个月换一次
烦死人了
~
网友(
doz)
我们公司也是每一季换一次密码。
一开始也是觉得很麻烦
后来就采用中文注音密码法
使用中文字的英文字来当作密码,通常
3-4
个中文字,作出来的密码强度是足够的
记忆上也容易,例如只要记忆「
IT
新闻」
,
但实际上的密码是「
ITau4a83
」
对使用不同输入法的人,同样的中文字,密码内容也会不同
.
结语:
密码管理方面不仅仅技术问题,很多时候是跟员工的职业操守和管理权责息息相关,也是
IT管理很重要的部分,随着技术的不断技术,动态口令的出现让密码管理变的豁然开朗,它不仅解决定期修改密码的烦恼,同时也是被认为最安全的密码保护机制,
85%以上的
500强企业在采用该项技术,网银、证券、第三方支付、网游等行业也有使用,目前应用比较广泛的动态口令技术有短信密码和硬件令牌,另外还有一种叫手机令牌,即安装在手机端的客户端软件,随着
3G时代的到来,能够安装软件的手机会越来越多,手机令牌会越来越普及。
为了形象,贴几种上来。
(1)手机令牌
(2)动态令牌
(3)短信密码
------------------------------------------------------------------------------
宁盾专注动态密码身份认证 - 短信密码 | 动态令牌(硬件令牌,手机令牌)
http://www.ndkey.com.cn
-------------------------------------------------------------------------------
相关推荐
QQ作为一款广受欢迎的即时通讯软件,其安全性是用户非常关注的一点。...同时,用户也应该养成良好的密码管理习惯,如定期更换密码,不使用相同的密码,以及开启QQ提供的各种安全功能,共同维护个人账号的安全。
在Web应用开发中,例如"WebApplication2"这样的项目,可以利用前端验证(如JavaScript)和后端验证(如服务器端语言如Java、Python等)双重校验密码强度,以提供更高的安全性。前端验证可以即时反馈给用户,而后端...
- **定期更换密码**:强制用户定期更改密码,但要确保新密码与旧密码有显著区别。 5. **安全性注意事项** - **存储和传输**:密码应进行哈希处理并加盐后存储,传输过程中使用加密,防止泄露。 - **教育用户**:...
无论是个人隐私保护,还是企业内部敏感信息管理,它都能成为值得信赖的助手。在日常使用中,我们应定期更新软件以获取最新的安全补丁,并遵循良好的密码管理习惯,以充分利用这款工具的优势,确保我们的数据始终处于...
密码强度的验证,这个案例非常的棒!在设置密码的时候的动态效果很好,下载看看吧
密码强度提示密码强度测试用于提示密码强度密码强度测试用于提示密码强度 密码强度测试用于提示密码强度
【高强度加密大师】是一款专为用户设计的高效、安全的文件和文件夹加密软件,它提供了先进的加密算法,确保用户的敏感数据得到最高级别的保护。在信息化时代,数据安全至关重要,无论是个人隐私还是企业机密,都需要...
一个强大的密码策略应包括以下几点:密码复杂度(要求包含大小写字母、数字和特殊字符)、长度限制(通常不少于8个字符)、定期更换(如每90天)、禁止使用常见或易猜词汇,以及历史密码重用限制(例如,不允许使用...
同时,密码长度也有明确要求,一般服务器密码至少8个字符,而对于机密级计算机密码则至少10个字符,确保密码强度足以抵御破解尝试。 定期更换密码是提高安全性的重要措施。通过规定一般服务器的密码更换周期不超过...
高强度文件夹加密大师能够在短时间内完成大量文件或大容量文件夹的加密工作,节省了用户宝贵的时间。无论是工作文档、个人照片还是其他重要资料,都能迅速地进行安全加密,有效地提高了工作效率。 操作简单也是这款...
企业应当把员工视为宝贵的资源,通过建立以员工为中心的发展策略,实现企业与员工的双赢,从而推动企业的持续成功。在实践中,企业应注重沟通,建立开放的反馈机制,倾听员工的声音,不断优化管理策略,以适应不断...
7. **最佳实践**:除了密码显示强度外,推荐的安全措施还包括使用两步验证、定期更换密码、不复用密码,以及使用密码管理器来生成和存储复杂密码。 了解这些知识点后,开发者可以创建出既用户体验良好又具备高安全...
本压缩包包含的“易语言检测密码强度源码”提供了在易语言环境下检测用户输入密码强度的功能。这种功能在许多应用程序中都非常重要,比如注册界面、登录系统等,可以有效防止用户设置过于简单的密码,提高系统的安全...
总之,使用JavaScript实现的密码强度检测能够帮助用户创建更安全的密码,提升网站的安全性。通过合理的规则设置和友好的用户反馈,我们可以鼓励用户采取更强的密码策略,从而降低网络安全风险。
很多时候都要实现密码强度的.我们登录等等都要实现.你可以看看
在Python编程中,生成高强度密码是一项重要的安全措施,特别是在创建用户认证系统时。本文将详细介绍如何使用Python来生成这样的密码,并提供一个详细的示例代码。 首先,为了创建高强度的密码,我们需要包含大写...
jsp密码强度检测jsp密码强度检测jsp密码强度检测
当用户输入密码时,根据`checkPasswordStrength`函数返回的分数,动态更换图片,以视觉方式反馈密码的强度。 至于动画效果,虽然题目中提到“动画效果不用jQuery”,但jQuery库本身是支持动画操作的,例如使用`....
JavaScript密码强度检测JavaScript密码强度检测
综上所述,《高强度文件夹加密大师 9001 Build101201》以其高效、安全的特性,为个人和企业的数据安全提供了强大保障,是现代数字生活中不可或缺的数据安全管理工具。正确使用和理解这款软件,能够有效地提升我们对...