Entry № 897
密码策略
密码策略 是什么?
密码策略一套规定用户密码如何创建、存储、轮换和验证的成文规则,用以在安全性与可用性之间取得平衡。
密码策略定义组织对用户所选密码的要求:最短长度、允许的字符集、与已泄露密码库的比对、过期规则以及锁定阈值。NIST SP 800-63B(第 3 版与第 4 版草案)等现代指南已不再推荐强制定期更换和复杂的字符组合规则,因为研究表明这些规则反而促使用户选择可预测的密码。当前推荐的基线是普通账号至少 8 位、特权账号 15 位以上,并对照 Have I Been Pwned 等已泄露密码列表进行筛查,只有在出现失陷证据时才强制更换。有效的策略还应结合多因素认证、密码管理器与速率限制。
● 示例
- 01
Active Directory 细粒度密码策略对 Domain Admins 要求 14 位长度并进行 HIBP 检查。
- 02
SaaS 注册流程拒绝任何出现在 Pwned Passwords API 中的密码。
● 常见问题
密码策略 是什么?
一套规定用户密码如何创建、存储、轮换和验证的成文规则,用以在安全性与可用性之间取得平衡。 它属于网络安全的 身份与访问 分类。
密码策略 是什么意思?
一套规定用户密码如何创建、存储、轮换和验证的成文规则,用以在安全性与可用性之间取得平衡。
如何防御 密码策略?
针对 密码策略 的防御通常结合技术控制与运营实践,详见上方完整定义。
密码策略 还有哪些其他名称?
常见的别称包括: 口令策略, 凭据策略。