您现在的位置是：首页 > 文章详情

对标一下NIST的密码建议，看看你的密码是不是安全？

日期：2021-10-29点击：450收藏

美国科学研究室与国家标准技术研究院NIST会经常发布密码安全准则，我们可以参考这些标准来提高密码安全性。其中有些标准可能与我们通常认为的提高密码安全性的做法不同，比如NIST准则指出，建议使用短语密码，因为它们比复杂的密码更安全。

终端用户密码是整个安全协议中最弱的部分，大多数用户倾向于在工作帐户和个人帐户之间重用密码。

他们还可能选择相对较弱的密码，虽然这些密码可以满足公司密码策略的要求，但很容易被猜测或强行使用，而且公司的用户也可能无意中使用了违反密码的公司帐户密码。

NIST拥有一个网络安全框架，可帮助组织解决其环境中常见的网络安全漏洞，包括弱密码，重复使用的密码和违反密码规则的密码。这篇文章将仔细介绍了NIST密码准则，并了解如何有效审核密码策略以确保它们符合NIST推荐的标准。

NIST密码准则和最佳做法

在标题为“存储的秘密验证者”的一章中介绍了有关密码的特定指南，NIST在密码管理方面有一些建议：

1.密码长度不少于8个字符;

2.ASCII字符可以和空格一起使用;

3.如果服务提供商随机选择密码，则密码长度必须至少为6个字符;

4.应将密码与已知的常用密码，预期密码或已泄露的密码进行比较。

什么类型的密码是常用的、预期的或被破坏的?

1.以前违反密码规则的密码;

2.字典单词;

3.连续或重复的字符;

4.与上下文相关的单词(包括用户名、企业名称等)。

NIST还推荐了以下其他密码安全机制，包括：

1.限速登录尝试失败;

2.不强制用户在任意天数后更改密码;

3.如果有证据表明帐户密码被泄漏(即密码被泄漏)，则强制更改密码;

4.应该向用户提供有关特定密码策略要求的指南。

审核Active Directory密码策略

如今，大多数企业组织都使用Microsoft Active Directory作为其集中式身份源和访问管理解决方案。许多策略使用组策略提供的内置Active Directory密码策略，作为组策略帐户策略的一部分，内置的密码策略提供了为Active Directory环境创建密码策略的基本功能。

下面是配置有默认密码策略设置的默认域策略的示例，包括：

1.密码最长使用期限;

2.最短密码期限;

3.最小密码长度。

密码必须符合复杂性要求

默认的域策略密码策略

正如你在“密码策略”属性中看到的那样，没有内置的方法可以检测到违反的密码或上传用于自定义字典目的的密码列表文件。根据NIST建议的密码准则，此策略不符合NIST标准。

如果你有许多不同的密码策略，并且可能有许多不同的密码设置和配置，该怎么办?你如何有效地审核Active Directory密码策略，以查看它们如何符合NIST标准和其他标准的建议?

使用Specops Password Auditor工具对标NIST标准

如果你拥有一个可提供所有Active Directory密码策略可见性的工具以及这些策略如何符合领先的行业标准，情况会怎样? Specops Password Auditor是一个强大的工具，不仅使你可以快速查看Active Directory环境中的危险密码。它还使你可以根据顶级网络安全标准快速审核现有密码策略，以确保符合这些策略。

如你所见，Specops Password Auditor工具使你可以快速查看组织的Active Directory环境中的危险密码。比如：