透過Active Directory去強制使用者要定期修改密碼,並且要改成強度夠的密碼,很多企業都有這樣的做法,不過這樣一來,會不會增加很多MIS的負擔?對於推動這樣的密碼強化管理機制,你有沒有什麼好方法,讓全公司上上下下的使用者都可以養成好習慣,而且又可以不用為產生、記憶密碼而傷腦筋?
除了既有的那些免費密碼管理小工具之外,有沒有針對多人密碼管理Lifecycle的系統?就像現在很多網站的會員管理,即使你忘了密碼,還是能讓使用者自行重新驗證身分、然後發出確認信,然後讓使用者收到密碼信之後,重新去設定個人資訊,但這些工作大部分都必須要正確登入電腦桌面之後,才有可能去利用這樣的機制,有可能在登入網域之前,就能善用這樣的機制去自動取得新密碼或自動取得舊密碼資訊嗎?
密碼強度比較好推行,首次設定密碼時設定一次就好,雖然密碼一定難記、不直覺,但是使用者久了也會無奈地習慣。強制定期修改密碼應該很難推動吧,想想看,要配合密碼強度,又要定期修改,真的會弄得大家一直叫,到最後只好用紙本記下來免得自己忘記,反而造成更嚴重的漏洞。
我的想法是可以和管理面一起配合,畢竟要採行不人道的作法,總得有些人道的回饋,除非能把改密碼的介面和流程弄得簡單又人性,但是這樣一來,入侵也變得簡單且人性了。
管理面的配合是,若使用者因為密碼外洩而造成公司損失,則需要負擔多少責任,可明確定義。若是有定期修改密碼但還是被入侵者,再行斟酌。再來透過修改密碼時的log檔來進行稽核,對那些久沒更動密碼的使用者發出提示。
要管理多人/多套系統的密碼,除非該公司整合了所有資訊服務:桌面登入、電子郵件、ERP、BPM....等,不然通常都是各自有使用者管理系統,好處是不要把雞蛋放在籃子裡(不過就經驗來說,User還是會用相同的密碼登入....),壞處是管理人員若要修改使用者資料,又要配合公司的資安政策時,那會令人吐血(雖然可以用LDAP來解決,但是好像有推的公司很少?)
密碼管理方面不僅僅是服務端和技術端的問題,很多時候是跟使用者的資訊素養和管理權責習習關關的。
假如大家的密碼更換時間都一樣,那不就意味IT人員,每隔一定週期,就要應付一堆改密碼改到忘記的同仁?不知道各位網友有無這種困擾,解決方案為何?
雖然難記,
還是要習慣阿
不過我覺得時間大約是3個月最適合
不長也不短
密碼最好加入一些特殊字元
不過有些公司不開放
我們公司也是每一季換一次密碼。
一開始也是覺得很麻煩
後來就採用中文注音密碼法
使用中文字的英文字來當作密碼,通常3-4個中文字,作出來的密碼強度是足夠的
記憶上也容易,例如只要記憶「IT新聞」,但實際上的密碼是「ITau4a83」
對使用不同輸入法的人,同樣的中文字,密碼內容也會不同.
可以兼具好記和夠強度的密碼...
"有沒有什麼好方法,讓全公司上上下下的使用者都可以養成好習慣,而且又可以不用為產生、記憶密碼而傷腦筋?"
答案是沒有好方法,一定還是會有人忘記。科技並不能解決所有的問題,特別是人的問題。
所以,還是讓常忘記密碼的人多吃點苦頭比較能讓他們自律一點,不然再好的工具也無效。
科技始終來自人性,要讓所有人一直更換密碼,還真是強人所難,卻又無可奈何!
期待 指紋辨識 或 其他更直接方便的科技可以更快普及,價格降低,讓人做人做的事...
我們公司的作法是使用者強制每三個月更換所有的資訊系統密碼
密碼強度8碼以上,文數混合,不可重複n次
如果到期不更換帳號立刻停用(上至董事長下至臨時人員無一倖免)
然後使用者有介面讓其在身份確認後自行重新啟用帳號
在內部的EIP系統上有使用自然人憑證作簽入強認證(包括簽到退都需使用自然人憑證)
外部連線視身份使用動態密碼作強認證
所使用到的系統包括Novell Identity Manager,Novell Access Manager(iChain),RSA Token,還有自建的密碼自我服務平台,委外與自建的自然人憑證驗證平台,這樣的機制已經運作超過3年,目前仍在持續改進中
上述提到的產品分別扮演下列角色
Novell Identity Manager:為Meta Directory(超目錄系統)負責整合Novell Directory與Microsoft Active Directory及人事資料庫系統,並負責背景的密碼同步原則
Novell Access Manager:負責Web的單一登入與SSL加速/加密
RSA Token:動態密碼執行強認證
自建的密碼自我服務平台:前端的密碼變更與身份確認平台,包括密碼政策演算與查核
委外與自建的自然人憑證驗證平台:負責EIP與公文系統,人事差勤系統的強認證
以上這些作起來不簡單,單是如何落實更是學問,當然了長官的全力支持是非常非常重要的
要User習慣定期修改密碼的作法除了以top-down的方式,似乎並無比較有效率的方法,柔性勸導,只會累死MIS人員;
至於設定複雜度足夠的密碼:一般數字+大小英文字+特殊符號混搭,長度>=8,應該足夠;
DOZ 回答的非常好,我目前就是用這個方式,像是 "林志玲真美麗" 這樣的句子, 用不同的輸入法, 密碼就不同, 強度也絕對夠用, 我就用過兵籍號碼, 宇宙超級無敵大帥哥, 絕世經典豪放女...這樣的密碼, 誰猜的到?! 有時還把0與O;a與@;數字1與英文l等互換, 夠瞧的了吧!
^_^