密码要定期更改吗?

日期: 2008-11-05 作者:Kevin Beaver翻译:Tina Guo 来源:TechTarget中国 英文

问:在最近的公司安全会议上,有个话题是密码和密码更新。风险管理组提出一种观点是不要让终端用户定期更改密码。他们说系统帐户和系统管理员层应该继续这么作,但是一般用户不能。我觉得他们的观点有些奇怪,因为共享密码的用户总是问题。

还有,随着我们采用单点登录,我认为这是在目前的安全意识环境中的不寻常的进步。风险管理的争议是如果一个密码足够强大,就没有定期更改的理由。     答:我也看到了这种趋势,以及对密码思考的“新”方式。我们都被带入了这样一个怪圈“密码最少要八个字符,必须每30天更改一次”。

根据我作为一个顾问的经验,如果用户经过了六到十二个月的培训(这很重要),安全依……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

问:在最近的公司安全会议上,有个话题是密码和密码更新。风险管理组提出一种观点是不要让终端用户定期更改密码。他们说系统帐户和系统管理员层应该继续这么作,但是一般用户不能。我觉得他们的观点有些奇怪,因为共享密码的用户总是问题。还有,随着我们采用单点登录,我认为这是在目前的安全意识环境中的不寻常的进步。风险管理的争议是如果一个密码足够强大,就没有定期更改的理由。
   
  答:我也看到了这种趋势,以及对密码思考的“新”方式。我们都被带入了这样一个怪圈“密码最少要八个字符,必须每30天更改一次”。根据我作为一个顾问的经验,如果用户经过了六到十二个月的培训(这很重要),安全依然很强大。我们都知道编写(并对其好处进行否定)没有任何个人意义的复杂密码是人类的天性,特别是当他们必须要经常更改的时候。我崇尚对安全和便利的权衡,因为如果不这样,只有黑客可以胜利。记住这是理想的情况。如果你怀疑因为有人共享密码、通过明文文本邮件传送,并在没有保护的硬盘上存储而导致密码很容易受到攻击,那么这些密码就需要经常更改。

作者

Kevin Beaver
Kevin Beaver

Kevin Beaver是一名优秀的信息安全顾问与作者。拥有超过17年的IT工作经验,擅长做信息安全评估。Beaver已经写了五本书,包括《Hacking For Dummies》《Hacking Wireless Networks For Dummies》《The Practical Guide to HIPAA Privacy and Security Compliance》等。

翻译

Tina Guo
Tina Guo

相关推荐