企业如何推动内部员工能够定期更换高强度密码

1. 背景：

      随着企业信息化的不断推进，企业软件业务系统数量不断增加，例如 VPN 、ERP 、邮件、OA 等，每个系统的都需要登录，有些员工会经常出差登入企业内部系统，而目前大部分系统还是采用静态密码机制，那些 强度不高、且不经常更换的密码就成了企业的风险点，如何推动员工设置高强度密码且定期修改是摆在企业 IT的一个普遍问题。

笔者就几年在密码领域的一些浅薄经验与各位分享，结合典型公司的实际问题，抛砖引玉，如果有些不到位，欢迎各位达人拍砖！

2. 方法

下面以问答形式来解决上述问题。

（1） 什么是强密码？

答：这是一个入门级问题，笔者认为强密码至少含八个字符，包括字母、数字和符号的组合，易记但他人难以猜到，另外尽量少采用特征值，如生日、电话号码之类的。

（2) 如何在公司内推动强密码且避免密码遗忘的几率？

答：密码强度比较好推行，首次设定密码时设定一次就好，虽然密码一定难记、不直觉，但是使用者久了也会无奈地习惯。

一般都需要以制度的方式透过去强制使用者要定期修改密码，并且要改成强度够的密码，上至老总、下至普通员工、上行下效。

（3） 是否任何系统都需要强密码？

答：接下来一个问题，很多员工在执行的时候，是照做了，为了方便以及，最后的结果是所有系统密码都设置同样的，那么只要一个系统密码失窃，那么其他系统在帐号被获知情况下也会遭受风险，一般来说帐号被获取比较方便，很多企业为了方便是一员工标号 +固定字段作为帐号。

       比较可行的方法是安全级别高的系统，如 VPN、财务等安全级别高系统强制设定高强度密码，且务必保持唯一，其他系统则不必。

（4） 密码修改周期多长比较合适？如何推动这项事情？

答：根据公司安全级别不同，有些是 30天，一般三个月比较适宜。

定期修改密码又要配合高强度密码，到最后只好用纸本记下来免得自己忘记，反而造成更严重的漏洞，所以这件事情需要处理好。

笔者认为将密码与安全管理配合，实行问责制度，若使用者因为密码外泄而造成公司损失，则需要负担多少责任，可在 IT管理制度明确定义，若是有定期修改密码但还是被入侵者，再行斟酌，再来透过修改密码时的日志文件来进行核查，对那些超过预期的用户发出更改密码提醒，设置公告机制，分别是预警、警告，强制修改。对于那些无视强制修改的用户，不更换账号立刻停用 (上至老总下至临时员工一视同仁 )，然后使用者有接口让其在身份确认后自行重新启用账号。

以下是一些网友对于定期修改密码的看法：

网游（阿紫）
虽然难记， 还是要习惯阿 不过我觉得时间大约是 3个月最适合 不长也不短 密码最好加入一些特殊字符 不过有些公司不开放

网友（ ping）

看来大家好像都是三个月换一次
像我们公司是一个月换一次
烦死人了 ~

网友（ doz）

我们公司也是每一季换一次密码。
一开始也是觉得很麻烦
后来就采用中文注音密码法
使用中文字的英文字来当作密码，通常 3-4 个中文字，作出来的密码强度是足够的
记忆上也容易，例如只要记忆「 IT 新闻」 , 但实际上的密码是「 ITau4a83 」
对使用不同输入法的人，同样的中文字，密码内容也会不同 .

 

结语：

密码管理方面不仅仅技术问题，很多时候是跟员工的职业操守和管理权责息息相关，也是 IT管理很重要的部分，随着技术的不断技术，动态口令的出现让密码管理变的豁然开朗，它不仅解决定期修改密码的烦恼，同时也是被认为最安全的密码保护机制， 85%以上的 500强企业在采用该项技术，网银、证券、第三方支付、网游等行业也有使用，目前应用比较广泛的动态口令技术有短信密码和硬件令牌，另外还有一种叫手机令牌，即安装在手机端的客户端软件，随着 3G时代的到来，能够安装软件的手机会越来越多，手机令牌会越来越普及。

为了形象，贴几种上来。

（1）手机令牌

 

（2）动态令牌

 

（3）短信密码

 

------------------------------------------------------------------------------
宁盾专注动态密码身份认证 - 短信密码 | 动态令牌（硬件令牌，手机令牌）
http://www.ndkey.com.cn
-------------------------------------------------------------------------------