企業的密碼政策應該如何設定才夠安全?

根據網路安全公司「Home Security Heroes」 的安全專家發布了一份新報告。

其使用 PassGAN 密碼生成器，從社群小工具 RockYou 資料庫取得 1,568 萬個常用密碼，並排除長度超過 18 個字元或短於 4 個字元的密碼。
將這些密碼餵給 AI 系統後，在不到 1 分鐘內破解了 51%，1 小時內破解了 65%，剩餘的密碼強度更高，破解難度和所需時間逐漸增加。測試又花了近一天才破解至 71%，一個月後升至 81%。
而這項研究也提供了一些建議：
1.密碼設定應該至少使用 15 個字元。
2.密碼應符合複雜度需求；至少包含兩個字母（大寫和小寫）、數字和特殊符號。
3.避免明顯的密碼模式，即使它們具有所有必需的字元長度和類型。

企業的密碼政策是確保數據和資訊安全的重要組成部分。以下是一些建議，可幫助企業設定更安全的密碼政策：

1.長度要求：要求員工使用足夠長的密碼，通常至少12個字符(建議15個)。較長的密碼通常更難猜測或破解。
2.複雜性要求：密碼應包含大寫字母、小寫字母、數字和特殊字符。這樣的混合使密碼更難以猜測。
3.不要使用常見密碼：禁止使用容易猜測的密碼，如"password"、"123456"等。應該使用唯一、難以預測的密碼。
4.密碼的周期性更換：要求員工定期更換密碼，例如每3至6個月。這有助於減少潛在風險，即使密碼被洩露，也會在一段時間後自動失效。
5.帳戶鎖定：設定帳戶鎖定政策，限制一定數量的連續密碼錯誤嘗試，並要求用戶進行身份驗證以解鎖帳戶。
6.多因素驗證（MFA）：鼓勵或要求用戶啟用MFA，這是一個重要的安全層，即使密碼被破解，仍然需要額外的身份驗證步驟。
7.教育和培訓：提供員工有關密碼安全的培訓和教育，讓他們了解密碼最佳實踐以及安全風險。
8.密碼存儲安全：確保存儲在系統中的密碼是加密的，並使用適當的安全措施來保護它們，以防止洩露。
9.監控和記錄：實施系統監控和日誌記錄，以檢測任何異常活動或潛在的安全威脅。
10.定期審查和更新政策：定期檢查和更新密碼政策，以確保它仍然符合當前的最佳實踐和安全需求。

最重要的是，密碼政策應根據企業的特定需求和風險情況進行調整。此外，密碼政策應該是一個與員工密切合作的過程，並且應該為員工提供工具和資源，以使他們能夠輕鬆地遵守政策。