企业密码策略设计指南

本文约需 8 分钟阅读

许多企业采用的密码策略基于传统规则，如"每 90 天更改一次"和"必须包含大写字母、数字和符号"。 然而，美国国家标准与技术研究院 (NIST) 发布的最新指南指出，其中一些规则实际上适得其反。 根据 Verizon 2024 年数据泄露调查报告，凭证窃取和滥用约占所有数据泄露事件的 31%， 企业密码策略设计仍然是一项重要课题。此外，IBM 2024 年数据泄露成本报告显示， 每次数据泄露的平均成本达到 488 万美元，创历史新高。设计适当的密码策略也是一项经营课题。 截至 2025 年，利用 AI 的密码猜测攻击日益高级化，传统的"复杂但短"的密码的脆弱性更加突出。 本文将介绍基于 NIST SP 800-63B 的现代密码策略设计方法，并提出将 passtsuku.com 作为企业内部工具的方案。

NIST SP 800-63B 指南要点

NIST SP 800-63B 是一份关于数字认证的综合指南，其中包含颠覆传统密码 (NIST 术语中称为"记忆秘密") 常识的建议。在应对各种合规要求时，该指南也是重要的参考基准。主要要点如下。

• 不强制定期更改密码 - 除非有泄露证据，否则不要求更改
• 要求至少 8 个字符 (NIST 最低标准。实务中建议 12 个字符以上)
• 不强制字符组合规则 (必须大写、必须符号等)
• 与已泄露密码的黑名单进行比对
• 不使用密码提示或安全问题
• 允许最长 64 个字符以上的密码
• 允许包括空格在内的所有可打印字符

这些建议基于考虑用户行为心理的实证研究。过于复杂的规则往往导致用户选择容易记住的弱密码，或将密码写在纸上。

关于 NIST 指南背后的认证设计理念，数字认证指南相关书籍 (Amazon)也可供参考。

重新审视定期更改策略

"每 90 天更改一次密码"的传统策略长期以来被视为安全最佳实践。然而，包括 NIST 在内的多个安全机构现在建议重新审视这一做法。

当强制定期更改时，用户往往会采取以下规避行为。

• 仅将末尾数字加 1 的更改 ("Password1" → "Password2")
• 包含月份或季节的可预测模式 ("Spring2024!" → "Summer2024!")
• 在多个服务中重复使用相同密码
• 将密码写在便签或记事本上

这些行为抵消了定期更改带来的安全效果，反而增加了风险。现代策略建议设置足够强的密码，仅在确认泄露时才要求更改。需要注意的是，废除定期更改并不意味着"不需要更改"，而是以引入泄露检测机制 (黑名单比对和与泄露通知服务的联动) 为前提条件。在没有检测体制的情况下仅废除定期更改，会产生泄露密码长期被放置的风险。

最低字符数与复杂性设置

对密码强度影响最大的因素是"长度"。NIST 要求至少 8 个字符，但这只是最低标准，企业策略建议 12 个字符以上，如果可能的话 16 个字符以上。

另一方面，NIST 指南不建议使用"至少 1 个大写字母、1 个数字、1 个符号"等字符组合规则。这类规则会导致用户创建像"P@ssw0rd!"这样可预测的模式。

取而代之，建议允许并鼓励使用长密码短语 (由多个单词组合而成的字符串)，并接受包括空格在内的所有字符。不过，使用 passtsuku.com 等工具生成随机密码时，包含更多字符类型可以在相同长度下提高熵值。

在企业策略中完全废除字符类型规则时，密码强度与熵的相关书籍 (Amazon)也可供参考。在实务中，废除字符类型规则的同时提高最低字符数以确保熵的下限是一种有效的设计。

利用黑名单

NIST 强烈推荐的措施之一是密码黑名单比对。将用户尝试设置的密码与以下列表进行比对，如果匹配则拒绝。

• 过去数据泄露中流出的密码 (如 Have I Been Pwned 的 Pwned Passwords API)
• 字典中的常见单词
• "password"、"123456"、"qwerty"等常用密码
• 基于公司名、服务名或用户名的字符串
• 连续字符或重复模式 ("aaaaaa"、"abcdef")

通过引入黑名单，系统可以防止设置技术上较弱的密码。这是一种通过机制而非依赖用户判断来保障安全性的方法。Have I Been Pwned 的 Pwned Passwords API 采用 k-Anonymity 模型，仅发送密码哈希值的前 5 个字符，因此被比对的密码本身不会泄露到外部。集成到企业系统中也相对容易。

NIST 指南与传统策略的比较

将传统密码策略与 NIST SP 800-63B 的建议进行比较，差异非常明显。

• 定期更改：传统做法为每 90 天强制更改 → NIST 建议仅在泄露时更改
• 字符规则：传统做法要求大写、数字、符号 → NIST 不强制
• 最低字符数：传统为 8 个字符 → NIST 为 8 个字符 (实务中建议 12 个以上)
• 黑名单：传统做法大多未引入 → NIST 强烈建议与泄露密码进行比对
• 密码短语：传统做法不支持 → NIST 允许包含空格的长字符串

这一策略转变的背后是 Carnegie Mellon 大学研究团队的大规模实证研究。研究发现，被强制定期更改密码的用户中有 41% 仅对上一个密码进行了可预测的更改，这一结果推动了 NIST 的策略转变。正如密码喷洒攻击一文中所述，可预测的密码很可能被包含在攻击者的列表中，定期更改反而可能增加风险。采用零信任安全模型的组织也应重新审视传统的密码轮换策略。

员工培训要点

即使制定了密码策略，如果员工不理解其意图，策略也会流于形式。有效的员工培训应包含以下要素。

• 解释规则的原因：具体说明"废除定期更改的理由"和"推荐长密码的依据"，可以提高员工对规则的认同感和遵守率。
• 网络钓鱼防御实践训练：定期发送模拟钓鱼邮件，测量和提高员工的应对能力。
• 鼓励事件报告：明确发现可疑邮件或登录时的报告流程，营造不责备报告者的文化。
• 支持密码管理器的引入：提供企业推荐的密码管理工具，并提供引入流程的支持。

将 passtsuku.com 作为企业内部工具使用

passtsuku.com 可以作为实施企业密码策略的有效内部工具。原因如下。

浏览器内完成，数据不外传

passtsuku.com 的密码生成处理完全在浏览器内完成，生成的密码不会通过网络传输到外部。通过密码学安全的随机数生成，可以安全地创建满足企业安全要求的强密码。

可根据策略进行配置

passtsuku.com 支持细粒度配置，包括字符数、使用的字符类型 (大写字母、小写字母、数字、符号)、首字符类型以及排除易混淆字符等。将符合企业密码策略的推荐设置分享给员工，任何人都可以轻松生成符合策略的密码。

批量生成提高运营效率

在需要同时生成多个密码的场景中，如新员工账户初始设置或事件发生时的批量密码更改，passtsuku.com 的批量生成功能非常有用。只需指定生成数量，即可一次性创建所有不同的随机密码。

推荐的企业内部设置

在企业中使用 passtsuku.com 时的推荐设置如下。

• 字符数：16 个字符以上 (管理员账户 20 个字符以上)
• 字符类型：开启全部 4 种 - 大写字母、小写字母、数字和符号
• 强度计：确认 80 位以上的熵
• 排除易混淆字符：在需要口头传达的场景中开启

将符合 NIST 指南的现代密码策略与 passtsuku.com 的实用密码生成相结合，可以高效地提升整个企业的安全水平。结合基于最小权限原则的访问管理运营，可以构建更加坚固的防御体系。建议设计包含远程办公安全对策在内的综合策略。

密码策略实施检查清单

在审查企业密码策略时，请确认以下事项。

• 是否已废除强制定期更改，转为基于泄露检测的更改策略？
• 是否已将最低字符数设置为 12 个以上？
• 是否已引入泄露密码的黑名单比对？
• 是否已向所有员工部署多因素认证？考虑引入单点登录 (SSO) 以减少员工需要管理的密码数量。
• 是否已禁用旧版认证协议 (IMAP、POP3 的 Basic Auth)？
• 是否在推荐和支持使用密码管理器？
• 是否每季度至少进行一次网络钓鱼训练？
• 事件报告流程是否明确，是否营造了鼓励报告的文化？

现在就能做的事

1. 将企业密码策略与 NIST SP 800-63B 的建议进行对照，废除强制定期更改
2. 利用 Have I Been Pwned 的 Pwned Passwords API 引入泄露密码的黑名单比对
3. 向员工推荐 passtsuku.com 作为密码生成工具，并将 16 个字符以上的设置标准化
4. 向所有员工部署多因素认证，并禁用旧版认证协议
5. 计划每季度一次的网络钓鱼训练，持续提高员工的安全意识

常见问题

定期更改密码真的有必要吗？

NIST 指南 (SP 800-63B) 不再建议在没有泄露迹象的情况下定期更改密码。强制定期更改往往导致用户选择更简单的密码，反而降低安全性。在检测到泄露时立即更改更为有效。

企业密码策略应设置最少多少位？

建议最少 12 个字符。虽然 NIST 将最低标准设为 8 个字符，但考虑到当前的计算能力，12 个字符以上是实际的安全底线。结合密码管理器的使用，推荐 16 个字符以上会更有效。

如果员工不遵守密码策略该怎么办？

改善环境比惩罚更有效。在全公司部署密码管理器，并通过 SSO（单点登录）减少需要记忆的密码数量。大多数不合规行为源于"太麻烦"，因此通过技术减轻负担是最佳方案。