密码策略
密码策略 是什么?
密码策略一套规定用户密码如何创建、存储、轮换和验证的成文规则,用以在安全性与可用性之间取得平衡。
密码策略定义组织对用户所选密码的要求:最短长度、允许的字符集、与已泄露密码库的比对、过期规则以及锁定阈值。NIST SP 800-63B(第 3 版与第 4 版草案)等现代指南已不再推荐强制定期更换和复杂的字符组合规则,因为研究表明这些规则反而促使用户选择可预测的密码。当前推荐的基线是普通账号至少 8 位、特权账号 15 位以上,并对照 Have I Been Pwned 等已泄露密码列表进行筛查,只有在出现失陷证据时才强制更换。有效的策略还应结合多因素认证、密码管理器与速率限制。
● 示例
- 01
Active Directory 细粒度密码策略对 Domain Admins 要求 14 位长度并进行 HIBP 检查。
- 02
SaaS 注册流程拒绝任何出现在 Pwned Passwords API 中的密码。
● 常见问题
密码策略 是什么?
一套规定用户密码如何创建、存储、轮换和验证的成文规则,用以在安全性与可用性之间取得平衡。 它属于网络安全的 身份与访问 分类。
密码策略 是什么意思?
一套规定用户密码如何创建、存储、轮换和验证的成文规则,用以在安全性与可用性之间取得平衡。
密码策略 是如何工作的?
密码策略定义组织对用户所选密码的要求:最短长度、允许的字符集、与已泄露密码库的比对、过期规则以及锁定阈值。NIST SP 800-63B(第 3 版与第 4 版草案)等现代指南已不再推荐强制定期更换和复杂的字符组合规则,因为研究表明这些规则反而促使用户选择可预测的密码。当前推荐的基线是普通账号至少 8 位、特权账号 15 位以上,并对照 Have I Been Pwned 等已泄露密码列表进行筛查,只有在出现失陷证据时才强制更换。有效的策略还应结合多因素认证、密码管理器与速率限制。
如何防御 密码策略?
针对 密码策略 的防御通常结合技术控制与运营实践,详见上方完整定义。
密码策略 还有哪些其他名称?
常见的别称包括: 口令策略, 凭据策略。
● 相关术语
- identity-access№ 795
密码
用户向系统证明身份所提供的一串秘密字符,传统上是占主导地位的单因素认证方式。
- identity-access№ 796
密码熵
以比特为单位衡量密码不可预测性的指标,熵越高,攻击者破解所需的尝试次数就越多。
- identity-access№ 884
已泄露密码
已出现在已知数据泄露中的密码,因此绝不应再被允许作为用户口令,典型来源是 Troy Hunt 的 Have I Been Pwned 服务。
- identity-access№ 797
密码管理器
用于生成、存储并自动填充强壮且唯一凭据的应用程序,通常以主口令短语保护,并越来越多地结合 passkey。
- identity-access№ 708
多因素认证 (MFA)
在授予访问权限前,要求提供两个或两个以上独立认证因素(通常来自不同类别)的认证方法。
- identity-access№ 009
账户锁定
在连续失败次数达到设定阈值后,暂时或永久禁止登录的控制措施,用于减缓在线密码猜测攻击。
● 参见
- № 592知识因素 (你所知道的)