企業的密碼政策應該如何設定才夠安全?
根據網路安全公司「Home Security Heroes」 的安全專家發布了一份新報告。
其使用 PassGAN 密碼生成器,從社群小工具 RockYou 資料庫取得 1,568 萬個常用密碼,並排除長度超過 18 個字元或短於 4 個字元的密碼。
將這些密碼餵給 AI 系統後,在不到 1 分鐘內破解了 51%,1 小時內破解了 65%,剩餘的密碼強度更高,破解難度和所需時間逐漸增加。測試又花了近一天才破解至 71%,一個月後升至 81%。
而這項研究也提供了一些建議:
1.密碼設定應該至少使用 15 個字元。
2.密碼應符合複雜度需求;至少包含兩個字母(大寫和小寫)、數字和特殊符號。
3.避免明顯的密碼模式,即使它們具有所有必需的字元長度和類型。
企業的密碼政策是確保數據和資訊安全的重要組成部分。以下是一些建議,可幫助企業設定更安全的密碼政策:
1.長度要求:要求員工使用足夠長的密碼,通常至少12個字符(建議15個)。較長的密碼通常更難猜測或破解。
2.複雜性要求:密碼應包含大寫字母、小寫字母、數字和特殊字符。這樣的混合使密碼更難以猜測。
3.不要使用常見密碼:禁止使用容易猜測的密碼,如"password"、"123456"等。應該使用唯一、難以預測的密碼。
4.密碼的周期性更換:要求員工定期更換密碼,例如每3至6個月。這有助於減少潛在風險,即使密碼被洩露,也會在一段時間後自動失效。
5.帳戶鎖定:設定帳戶鎖定政策,限制一定數量的連續密碼錯誤嘗試,並要求用戶進行身份驗證以解鎖帳戶。
6.多因素驗證(MFA):鼓勵或要求用戶啟用MFA,這是一個重要的安全層,即使密碼被破解,仍然需要額外的身份驗證步驟。
7.教育和培訓:提供員工有關密碼安全的培訓和教育,讓他們了解密碼最佳實踐以及安全風險。
8.密碼存儲安全:確保存儲在系統中的密碼是加密的,並使用適當的安全措施來保護它們,以防止洩露。
9.監控和記錄:實施系統監控和日誌記錄,以檢測任何異常活動或潛在的安全威脅。
10.定期審查和更新政策:定期檢查和更新密碼政策,以確保它仍然符合當前的最佳實踐和安全需求。
最重要的是,密碼政策應根據企業的特定需求和風險情況進行調整。此外,密碼政策應該是一個與員工密切合作的過程,並且應該為員工提供工具和資源,以使他們能夠輕鬆地遵守政策。