如何选择一个良好的密码策略
发布网友
发布时间:2022-05-01 07:29
我来回答
共1个回答
热心网友
时间:2022-06-26 02:49
密码是一个被很大误解的安全性措施——需要考虑的东西远比我们通常所考虑的要多的多。在您的网络中,帐户和密码的组合可以被认为是安全性的的最外围防御。如果这些密码中有一个被攻破,那么未授权或恶意用户将可以获得您网络资源的访问权。没有有效的用户名和密码,攻击者不得不采用其他攻击方式,很多这些攻击方式都是很容易跟踪和识别的。密码攻破是一个很隐蔽的问题。在密码被攻破时,您可能不会觉察到。而当觉察到的时候,已经为时太晚了。解决这个问题的一种方法就是完全取消密码。由于这并不总是可行的,因此Windows 2000 为您提供了更简单的方法,构建能够保证您密码免受一般攻击的域策略,同时确保用户不会创建一个脆弱、容易被猜到的密码。(当然,即使是强健的密码也不能免除采用其他安全措施的需要,包括防御最流行攻击方式、维持良好的物理安全性以及使用合适的工具。)
一般密码攻击
帮助您了解针对可重用密码攻击的最常用类型,了解这些安全性弱点有助于评估策略,增强网络的薄弱环节。
* 暴力攻击。 最常用的密码攻击类型之一就是简单的暴力字典攻击。在通过单向哈希算法后,密码被存储在Windows NT SAM和Active Directory中。这种算法类型是不可逆的。因此,告诉您正确密码的唯一方法就是通过同样的单向哈希算法,与结果进行比较。字典攻击将整个字典通过加密过程,寻找相匹配的条目。这种方法十分简单,但是能够十分有效地找出那些使用常用词(例如"password"或"guest")作为帐户密码的用户。
* 社交攻击。这些攻击借助于圆滑的交谈:攻击者使用说服技巧("没有您的密码,我无法保护这个系统")、权威和误导("这是一个来自IT帮助台的电话")来诱骗您的用户泄露他们的密码。很难通过技术解决方案来杜绝这些攻击(除了前面所提到的,完全取消密码。)
* 网络嗅探。 网络"嗅探器"允许攻击者实时查看网络流量。从这些流量中,他们可以挑出感兴趣的数据,包括没有很好保护的密码。好消息是:使用 IPSec 和 Kerberos 等强健的安全性协议能够保护有价值的数据免受解密,因此嗅探器只能记录下无用的信息。
* 特洛依木马。 正如名字所指出的,特洛依木马是一个看上去无害的软件,它们会诱使用户允许这些程序运行。一旦运行了这些程序,它们能够在用户的上下文中通过多种方式来攻击网络。它可以做的事情包括监视用户的键盘输入,并将它们发送给第三方。例如,用户在进入非域资源时需要输入密码以通过身份验证,此时特洛依木马就可以截取用户的密码。
Windows 2000和Windows XP都提供了针对暴力攻击和网络嗅探的很好保护。暴力攻击需要依赖于两个要素:攻击者需要重复尝试真实密码,或者他需要拥有一组密码哈希结果。设置合理的帐户锁定策略,这将阻止攻击者使用暴力攻击不断在真实帐户上测试密码,并选用强健的密码。设置正确的 LMCompatibility Level 值,这样可以确保没有哈希值被发送到网络中,以及使用Syskey保护工具来阻止攻击者使用从本地计算机偷到的密码哈希值。
如何针对社交攻击和特洛依木马攻击呢?阻止它们会更难一些,因为这其中涉及到您的用户。要帮助防御社交攻击,请尽力培训您的用户,教会他们永远不要泄露他们的密码。确保他们知道不能写下密码、不能通过电子邮件发送密码,也不能告诉同事。经常提醒他们不要使用常用词或个人信息作为密码,例如他们的宠物、子女或配偶的名字。提醒他们任何对他们密码的请求都应该报告给您的IT或企业安全部门。有很多东西需要记住,因此记住:即使他们仍然可能继续做这些事情,但是您可以减轻这些坏习惯的影响范围。
使用Windows密码策略
当然,鼓励用户使用强健密码的最佳方式就是强迫他们使用。Windows 2000 Active Directory和Windows XP的组策略特性允许管理员在域范围内强制实施强健的密码和安全登录策略。由于Active Directory策略应用在域层级的不同等级上,并且可以将这些策略配置为阻止策略继承,因此很重要的一点就是,确保重要的域范围的策略被设置为不可替代,这样能够避免下级公司部门改写他们的配置。您可以通过更改来控制密码策略。
一个良好的密码策略包括两个主要部分:
* 密码策略控制是否允许用户重新使用旧的密码(强制密码历史),在两次更改密码之间的时间(最大密码寿命以及最小密码寿命),最小密码长度(最小密码长度),以及用户是否必须混合使用大小写字母、数字和特殊字符(密码必须满足复杂性要求)。最低要求,您应该要求每45天更改一次密码,或要求至少8个字符的密码,并确保开启了密码必须满足复杂性要求设置。
* The 帐户锁定策略确定了在特定时间段内锁定帐户之前,域控制器能够接受多少次失败的登录尝试。您可以配置用户猜测密码的次数(帐户锁定阈值),帐户将被锁定的时间长度(帐户锁定持续时间),以及在成功登录后多久再重新设置锁定帐户。虽然在用户正当错误时锁定他们的用户帐户会带来很多不便,但是这些策略能够阻止不断的密码猜测。更重要的是,它们能够帮助阻止需要作为用户登录并测试每个猜测密码的字典攻击。
