密码策略
本文约需 2 分钟阅读
密码策略 (Password Policy) 是指组织或服务中关于密码创建与管理的规则和标准。它包括最小字符数、字符种类要求、有效期、历史记录管理等内容。 NIST (美国国家标准与技术研究院) 的最新指南 SP 800-63B 已转向重视密码的长度和随机性,而非强制定期更改。
现场使用案例
“我们依照 NIST SP 800-63B 修订了密码策略,废除了定期更改,并改为推荐生成至少 15 个字符的随机密码。向服务台提交的密码重置请求从每月 200 件减少到了 80 件。”
现代密码策略与 NIST 指南
NIST SP 800-63B (2024 年修订版) 要求密码至少为 8 个字符 (推荐 15 个字符以上),并且不推荐强制定期更改。截至 2025 年,许多企业正在按照该指南修订其策略。传统的“每 90 天更改一次”规则,正是导致用户仅更改末尾数字、生成弱密码的原因。如今主流的方针是仅在确认发生泄露时才要求更改。此外,还推荐对照已泄露密码的黑名单进行比对,从而提前阻止诸如“password123”这类已知的危险密码。密码策略相关书籍 (Amazon)可以学习最新的标准。
企业导入场景
某中型企业从传统的“8 个字符以上,必须包含大小写字母、数字和符号,每 90 天更改”策略,迁移到“15 个字符以上,推荐随机生成,仅在泄露时更改”后,向服务台提交的密码重置请求减少了 60%。在制定策略时,重要的是与密码管理器的全公司部署一并考虑。企业密码策略设计中讲解了按行业划分的具体设置示例。
有效的密码运用
随机生成的密码完全能够满足现代密码策略的要求。作为撞库攻击的防范措施,为每个服务使用不同的密码是必不可少的。与密码管理器结合使用,即使是又长又随机的密码也不会成为管理负担。一个常见的误解是“复杂的密码 = 安全”,但像“P@ssw0rd!”这样可预测的替换很容易被字典攻击攻破。真正重要的是足够的长度和随机性。信息安全管理入门书 (Amazon)也很有参考价值。
这篇文章对您有帮助吗?