看板 NetSecurity 關於我們 聯絡資訊
※ 引述《CMJ0121 (不要偷 Q)》之銘言: : 這是某 Youtube 頻道[0]講到關於資安 (密碼) 部分的常識 : 頻道不是我創的 廣告不是我賺的 所以不想看的人可以直接看文字結論 :) : 常見的密碼錯誤 : - 不同網站使用相同的帳號密碼 : - 密碼實體儲存 (e.g. 便利貼) 這可以參考一級玩家[1] 的劇情 : - 太短、太簡單的密碼 : - 個人化的密碼 (e.g. 寵物名稱、生日、...etc) : - 分享密碼 <--- 這真的會發生嗎? : - 沒有特別字符 : - 不可能記得住的密碼 : - 讓瀏覽器記住密碼 : - 使用不可靠的密碼產生器 : - 從不更改密碼 <--- 現在主流建議不用常常改 : - 不使用雙重認證 : - 使用預設密碼 上面的密碼原則有些其實是互相衝突的 例如, 不同網站使用不同的帳號密碼, 不要實體儲存, 不要讓瀏覽器記住密碼 這時沒有個人化密碼 基本上是不可能記得住使用頻率超過一週的網站帳密的 在組織使用者方面 密碼管理的難處在於 要考慮到使用者的年紀 系統數量反而不重要 畢竟是單個組織的系統 使用single sign on可以大幅減少帳密數量 年紀很重要 因為這影響到公司整體的資訊化程度 和同仁密碼管理的精細度 但即使是年紀輕的公司 可能也不要太樂觀 認為大家都記得自己的所有密碼 NIST近期新版的密碼原則指引 就洞察這點 密碼管理原則的建議寬鬆得出乎意料, 例如: 1. 密碼最小長度 8碼 (裝置產生的話是6碼) 2. 不要複雜性原則 3. 不要密碼有效期限 這三個原則就和上面的密碼原則多少有些衝突 密碼管理原則 在目前每個人的網路帳號數量越來越多的狀況下 以使用者而言 就是可以的話 開啟雙因子驗證 沒有的話 確保登入時可以收到登入資訊 (像Netflix 有新地點新裝置嘗試登入時通知) 以上都沒有的網站 就弄個只記得一次的密碼 要用時使用忘記密碼重置 以組織而言 雙因子認證要$ 沒有$的單位 可以參考技服GCB的建議 透過AD設定密碼的限制 但老實說 這些限制頂多就是對使用者的束縛 實際上 攻擊者還是可以在這些密碼限制下 透過沒有雙因子認證的網站(如OWA) 有效猜測及取得使用者的密碼 : --- : 我後來設定的密碼會使用超過 10 的字 大概是 2~3 的單詞 : 可能的話 會替換掉中間的字詞 像是 0 -> O 或者其他字詞 : 另外 有的選擇的話不要使用線上密碼產生器、碼強度驗證之類的服務 : 對於相對壞心眼的人來說 使用密碼產生器等於道這個 IP/瀏覽器的密碼 : 同理 使用密碼強度驗證... (以下略) : [0]: https://www.youtube.com/watch?v=EaRCfmEV0DE
: [1]: https://en.wikipedia.org/wiki/Ready_Player_One_(film) -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.250.31.34 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1583114039.A.D49.html
asimon: GCB... 聽到很多單位大大聞之色變的關鍵字.. 03/04 01:58
sam613: https://bit.ly/32TzGh9 這篇又有不同的建議(by FBI) 03/05 20:13
SlimeEditor: fbi這篇沒有比較不同啊 大概就他說nist建議最少15碼 03/06 14:22
SlimeEditor: NIST 800-63b原文: Memorized secrets SHALL be at 03/06 14:23
SlimeEditor: least 8 characters in length if chosen by the 03/06 14:24
SlimeEditor: subscriber. 其他FBI跟NIST的建議其實相仿 03/06 14:24
SlimeEditor: 雙因子認證和告警信是我們最近做PT後的心得 03/06 14:24