iT邦幫忙

1

如何推動使用者習慣定期修改密碼與設定複雜度足夠的密碼?

lacanG 2008-05-17 15:39:5213690 瀏覽

透過Active Directory去強制使用者要定期修改密碼,並且要改成強度夠的密碼,很多企業都有這樣的做法,不過這樣一來,會不會增加很多MIS的負擔?對於推動這樣的密碼強化管理機制,你有沒有什麼好方法,讓全公司上上下下的使用者都可以養成好習慣,而且又可以不用為產生、記憶密碼而傷腦筋?

除了既有的那些免費密碼管理小工具之外,有沒有針對多人密碼管理Lifecycle的系統?就像現在很多網站的會員管理,即使你忘了密碼,還是能讓使用者自行重新驗證身分、然後發出確認信,然後讓使用者收到密碼信之後,重新去設定個人資訊,但這些工作大部分都必須要正確登入電腦桌面之後,才有可能去利用這樣的機制,有可能在登入網域之前,就能善用這樣的機制去自動取得新密碼或自動取得舊密碼資訊嗎?

看更多先前的討論...收起先前的討論...
funkent iT邦高手 1 級 ‧ 2008-05-17 20:10:33 檢舉
其實叫user換,自己都很懶的換 XD
魯大 iT邦高手 1 級 ‧ 2008-05-17 22:52:07 檢舉
啟先也想推這個
對於資安有一定的幫助
不過就是因為user太懶
所以上面的就不同意囉..
科技始終來自於人性 --> 懶
lcs1206 iT邦研究生 1 級 ‧ 2008-05-17 23:27:12 檢舉
這好像衍生出一個問題,假如大家的密碼更換時間都一樣,那不就意味IT人員,每隔一定週期,就要應付一堆改密碼改到忘記的同仁?
skite iT邦大師 5 級 ‧ 2008-05-17 23:31:24 檢舉
應該是說雖然是強制更換,但還是user自己換吧,自己換的密碼也忘記實在有點說不過去…
doz iT邦好手 8 級 ‧ 2008-05-18 17:05:27 檢舉
改密碼,改到user自己忘記,應該是直接重新設定新的,會比較好吧
省得還要「查」還要告訴對方..一堆有的沒有
也比較安全
鐵殼心 iT邦高手 1 級 ‧ 2008-05-18 18:18:52 檢舉
在我們公司 密碼如果忘記了
請用Email正式行文通知, "RESET"
幫忙查密碼? 辦不到....
skite iT邦大師 5 級 ‧ 2008-05-18 19:56:32 檢舉
我覺得應該去調查一下忘記密碼的使用者,當初到底是怎麼設密碼的,該不會是亂打一通吧?
魯大 iT邦高手 1 級 ‧ 2008-05-18 20:46:24 檢舉
這很難說
人總是會健忘的
記得上上星期有篇報導
人的記憶力是有限的
是沒有辦法記太多的事情的..
skite iT邦大師 5 級 ‧ 2008-05-18 20:48:08 檢舉
應該是訓練不夠吧。
人的記憶是有分成暫存記憶區和永久記憶區的,如果只是放在暫存記憶區的話一下就會忘記了…
davistai iT邦大師 1 級 ‧ 2008-05-19 10:07:47 檢舉
skite大,我覺得有時候年紀大了也會吧??
davistai iT邦大師 1 級 ‧ 2008-05-19 10:09:23 檢舉
我意思是說,年紀大了再訓練也是一下就會忘記了...no matter 暫存記憶區和永久記憶區的,像老化的充電電池!!
Ruei iT邦研究生 1 級 ‧ 2008-05-19 19:38:27 檢舉
某些網路遊戲廠商喜歡強制使用者來玩這套,像是遊戲水果...,屆時我也希望能提供好的查詢密碼機制 xd
lcs1206 iT邦研究生 1 級 ‧ 2008-05-20 14:00:26 檢舉
正常的情況下,應該也只能 RESET 吧,假如可以查,有事的話,IT部門不就被釘到翻!
jease iT邦研究生 1 級 ‧ 2008-05-23 23:56:06 檢舉
常改密碼對user也是一種困擾,不如第一次就設定符合密碼強度的,
後續除了有特殊原因在更改就好了,但重要的主機就必須常常改密碼~
davistai iT邦大師 1 級 ‧ 2008-05-31 20:40:01 檢舉
有什麼方式可以讓電腦認得主人?那就不用打密碼啦^^
66
shen129
iT邦新手 1 級 ‧ 2008-05-17 18:24:38
最佳解答

密碼強度比較好推行,首次設定密碼時設定一次就好,雖然密碼一定難記、不直覺,但是使用者久了也會無奈地習慣。強制定期修改密碼應該很難推動吧,想想看,要配合密碼強度,又要定期修改,真的會弄得大家一直叫,到最後只好用紙本記下來免得自己忘記,反而造成更嚴重的漏洞。

我的想法是可以和管理面一起配合,畢竟要採行不人道的作法,總得有些人道的回饋,除非能把改密碼的介面和流程弄得簡單又人性,但是這樣一來,入侵也變得簡單且人性了。

管理面的配合是,若使用者因為密碼外洩而造成公司損失,則需要負擔多少責任,可明確定義。若是有定期修改密碼但還是被入侵者,再行斟酌。再來透過修改密碼時的log檔來進行稽核,對那些久沒更動密碼的使用者發出提示。

要管理多人/多套系統的密碼,除非該公司整合了所有資訊服務:桌面登入、電子郵件、ERP、BPM....等,不然通常都是各自有使用者管理系統,好處是不要把雞蛋放在籃子裡(不過就經驗來說,User還是會用相同的密碼登入....),壞處是管理人員若要修改使用者資料,又要配合公司的資安政策時,那會令人吐血(雖然可以用LDAP來解決,但是好像有推的公司很少?)

密碼管理方面不僅僅是服務端和技術端的問題,很多時候是跟使用者的資訊素養和管理權責習習關關的。

54
lukechang
iT邦研究生 1 級 ‧ 2008-05-17 18:25:23

我們公司是兩個月強制更換 使用者通常都用熟悉的2組替換使用 所以也粉少發生忘記密碼的事

50
funkent
iT邦高手 1 級 ‧ 2008-05-17 20:10:10

本公司是180天換一次,強制更換,不換的話帳號部份權限失效

44
lcs1206
iT邦研究生 1 級 ‧ 2008-05-17 23:28:40

假如大家的密碼更換時間都一樣,那不就意味IT人員,每隔一定週期,就要應付一堆改密碼改到忘記的同仁?不知道各位網友有無這種困擾,解決方案為何?

46
henry312066
iT邦研究生 3 級 ‧ 2008-05-18 00:52:10

雖然難記,
還是要習慣阿
不過我覺得時間大約是3個月最適合
不長也不短
密碼最好加入一些特殊字元
不過有些公司不開放

40
ping
iT邦研究生 1 級 ‧ 2008-05-18 02:02:39

看來大家好像都是三個月換一次
像我們公司是一個月換一次
煩死人了~

52
doz
iT邦好手 8 級 ‧ 2008-05-18 03:16:58

我們公司也是每一季換一次密碼。
一開始也是覺得很麻煩
後來就採用中文注音密碼法
使用中文字的英文字來當作密碼,通常3-4個中文字,作出來的密碼強度是足夠的
記憶上也容易,例如只要記憶「IT新聞」,但實際上的密碼是「ITau4a83」
對使用不同輸入法的人,同樣的中文字,密碼內容也會不同.

可以兼具好記和夠強度的密碼...

42
echen688
iT邦研究生 1 級 ‧ 2008-05-18 08:49:54

"有沒有什麼好方法,讓全公司上上下下的使用者都可以養成好習慣,而且又可以不用為產生、記憶密碼而傷腦筋?"

答案是沒有好方法,一定還是會有人忘記。科技並不能解決所有的問題,特別是人的問題。

所以,還是讓常忘記密碼的人多吃點苦頭比較能讓他們自律一點,不然再好的工具也無效。

28
fanylu60
iT邦研究生 1 級 ‧ 2008-05-18 22:15:46

只有強制於到期日更換密碼,不變更密碼就無法進入

26
yce701116
iT邦研究生 1 級 ‧ 2008-05-18 22:27:16

大多數的人都不會主動更換密碼,只有用提醒與不斷提醒使用者去變更密碼

28
apicaljason
iT邦新手 4 級 ‧ 2008-05-19 04:13:22

科技始終來自人性,要讓所有人一直更換密碼,還真是強人所難,卻又無可奈何!
期待 指紋辨識 或 其他更直接方便的科技可以更快普及,價格降低,讓人做人做的事...

40
netjedi
iT邦新手 3 級 ‧ 2008-05-19 15:24:00

我們公司的作法是使用者強制每三個月更換所有的資訊系統密碼
密碼強度8碼以上,文數混合,不可重複n次
如果到期不更換帳號立刻停用(上至董事長下至臨時人員無一倖免)
然後使用者有介面讓其在身份確認後自行重新啟用帳號
在內部的EIP系統上有使用自然人憑證作簽入強認證(包括簽到退都需使用自然人憑證)
外部連線視身份使用動態密碼作強認證
所使用到的系統包括Novell Identity Manager,Novell Access Manager(iChain),RSA Token,還有自建的密碼自我服務平台,委外與自建的自然人憑證驗證平台,這樣的機制已經運作超過3年,目前仍在持續改進中
上述提到的產品分別扮演下列角色
Novell Identity Manager:為Meta Directory(超目錄系統)負責整合Novell Directory與Microsoft Active Directory及人事資料庫系統,並負責背景的密碼同步原則
Novell Access Manager:負責Web的單一登入與SSL加速/加密
RSA Token:動態密碼執行強認證
自建的密碼自我服務平台:前端的密碼變更與身份確認平台,包括密碼政策演算與查核
委外與自建的自然人憑證驗證平台:負責EIP與公文系統,人事差勤系統的強認證
以上這些作起來不簡單,單是如何落實更是學問,當然了長官的全力支持是非常非常重要的

30
davistai
iT邦大師 1 級 ‧ 2008-05-19 23:32:28

要User習慣定期修改密碼的作法除了以top-down的方式,似乎並無比較有效率的方法,柔性勸導,只會累死MIS人員;
至於設定複雜度足夠的密碼:一般數字+大小英文字+特殊符號混搭,長度>=8,應該足夠;

24
花輪
iT邦大師 1 級 ‧ 2008-05-25 20:49:41

DOZ 回答的非常好,我目前就是用這個方式,像是 "林志玲真美麗" 這樣的句子, 用不同的輸入法, 密碼就不同, 強度也絕對夠用, 我就用過兵籍號碼, 宇宙超級無敵大帥哥, 絕世經典豪放女...這樣的密碼, 誰猜的到?! 有時還把0與O;a與@;數字1與英文l等互換, 夠瞧的了吧!
^_^

我要發表回答

立即登入回答