※ 引述《CMJ0121 (不要偷 Q)》之铭言： : 这是某 Youtube 频道[0]讲到关於资安 (密码) 部分的常识 : 频道不是我创的 广告不是我赚的 所以不想看的人可以直接看文字结论 :) : 常见的密码错误 : - 不同网站使用相同的帐号密码 : - 密码实体储存 (e.g. 便利贴) 这可以参考一级玩家[1] 的剧情 : - 太短、太简单的密码 : - 个人化的密码 (e.g. 宠物名称、生日、...etc) : - 分享密码 <--- 这真的会发生吗? : - 没有特别字符 : - 不可能记得住的密码 : - 让浏览器记住密码 : - 使用不可靠的密码产生器 : - 从不更改密码 <--- 现在主流建议不用常常改 : - 不使用双重认证 : - 使用预设密码 上面的密码原则有些其实是互相冲突的 例如, 不同网站使用不同的帐号密码, 不要实体储存, 不要让浏览器记住密码 这时没有个人化密码 基本上是不可能记得住使用频率超过一周的网站帐密的 在组织使用者方面 密码管理的难处在於 要考虑到使用者的年纪 系统数量反而不重要 毕竟是单个组织的系统 使用single sign on可以大幅减少帐密数量 年纪很重要 因为这影响到公司整体的资讯化程度 和同仁密码管理的精细度 但即使是年纪轻的公司 可能也不要太乐观 认为大家都记得自己的所有密码 NIST近期新版的密码原则指引 就洞察这点 密码管理原则的建议宽松得出乎意料, 例如: 1. 密码最小长度 8码 (装置产生的话是6码) 2. 不要复杂性原则 3. 不要密码有效期限 这三个原则就和上面的密码原则多少有些冲突 密码管理原则 在目前每个人的网路帐号数量越来越多的状况下 以使用者而言 就是可以的话 开启双因子验证 没有的话 确保登入时可以收到登入资讯 (像Netflix 有新地点新装置尝试登入时通知) 以上都没有的网站 就弄个只记得一次的密码 要用时使用忘记密码重置 以组织而言 双因子认证要$ 没有$的单位 可以参考技服GCB的建议 透过AD设定密码的限制 但老实说 这些限制顶多就是对使用者的束缚 实际上 攻击者还是可以在这些密码限制下 透过没有双因子认证的网站(如OWA) 有效猜测及取得使用者的密码 : --- : 我後来设定的密码会使用超过 10 的字 大概是 2~3 的单词 : 可能的话 会替换掉中间的字词 像是 0 -> O 或者其他字词 : 另外 有的选择的话不要使用线上密码产生器、码强度验证之类的服务 : 对於相对坏心眼的人来说 使用密码产生器等於道这个 IP/浏览器的密码 : 同理 使用密码强度验证... (以下略) : [0]: https://www.youtube.com/watch?v=EaRCfmEV0DE : [1]: https://en.wikipedia.org/wiki/Ready_Player_One_(film) --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 60.250.31.34 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1583114039.A.D49.html