作者jjasoncool (龙门忠武)
看板NetSecurity
标题[闲聊] 关於 ISO27001 的密码更换代数问题
时间Tue Sep 9 13:37:47 2025
如题
最近因为稽核ISO27001 其实也有通过稽核验证了
只是关於密码定期更换这个问题
後来陆续有些组织开始提出不应频繁更换导致使用者都使用
固定模式来进行更换更甚者导致自己密码忘记就写在隐密处等等困扰问题
(当然当事人的机敏资料必须进行控管有上锁保管好等)
然而在近期有看到关於 NIST SP 800-63B
此指引有提到避免强制轮换密码导致使用者负担
想说有没有人有遇到类似问题 欢迎一起讨论
当然 强迫使用者换其实很简单 只是在想有没有可以符合规定
又可以让使用者方便的双赢做法
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 219.100.37.243 (日本)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1757396269.A.23E.html
1F:推 ym7834: password manager 跟 passkey 09/10 08:42
2F:→ ym7834: 另外虽说不换密码,但要能去监看有没有密码流落在外面被 09/10 08:49
3F:→ ym7834: 人用来撞库。能做到这个也是不容易 09/10 08:49
4F:推 asimon: 2FA、MFA.. Ex.OTP. 一组好的通行码胜过N组烂密码。 09/10 14:57
6F:→ asimon: NIST有一系列建议可参考,翻译一下哪些适合可以拿去参考。 09/10 15:02
7F:→ jjasoncool: 感谢分享 09/10 20:46
8F:推 holishing: 推分享 09/18 21:44