密碼管理原則 - 資安

※ 引述《CMJ0121 (不要偷 Q)》之銘言：
: 這是某 Youtube 頻道[0]講到關於資安 (密碼) 部分的常識
: 頻道不是我創的 廣告不是我賺的 所以不想看的人可以直接看文字結論 :)
: 常見的密碼錯誤
: - 不同網站使用相同的帳號密碼
: - 密碼實體儲存 (e.g. 便利貼) 這可以參考一級玩家[1] 的劇情
: - 太短、太簡單的密碼
: - 個人化的密碼 (e.g. 寵物名稱、生日、...etc)
: - 分享密碼 <--- 這真的會發生嗎?
: - 沒有特別字符
: - 不可能記得住的密碼
: - 讓瀏覽器記住密碼
: - 使用不可靠的密碼產生器
: - 從不更改密碼 <--- 現在主流建議不用常常改
: - 不使用雙重認證
: - 使用預設密碼

上面的密碼原則有些其實是互相衝突的

例如, 不同網站使用不同的帳號密碼, 不要實體儲存, 不要讓瀏覽器記住密碼
這時沒有個人化密碼 基本上是不可能記得住使用頻率超過一週的網站帳密的

在組織使用者方面 密碼管理的難處在於 要考慮到使用者的年紀
系統數量反而不重要 畢竟是單個組織的系統
使用single sign on可以大幅減少帳密數量

年紀很重要 因為這影響到公司整體的資訊化程度 和同仁密碼管理的精細度
但即使是年紀輕的公司 可能也不要太樂觀 認為大家都記得自己的所有密碼
NIST近期新版的密碼原則指引 就洞察這點 密碼管理原則的建議寬鬆得出乎意料, 例如:
1. 密碼最小長度 8碼 (裝置產生的話是6碼)
2. 不要複雜性原則
3. 不要密碼有效期限
這三個原則就和上面的密碼原則多少有些衝突

密碼管理原則
在目前每個人的網路帳號數量越來越多的狀況下
以使用者而言 就是可以的話 開啟雙因子驗證
沒有的話 確保登入時可以收到登入資訊 (像Netflix 有新地點新裝置嘗試登入時通知)
以上都沒有的網站 就弄個只記得一次的密碼 要用時使用忘記密碼重置

以組織而言 雙因子認證要$
沒有$的單位 可以參考技服GCB的建議 透過AD設定密碼的限制
但老實說 這些限制頂多就是對使用者的束縛
實際上 攻擊者還是可以在這些密碼限制下 透過沒有雙因子認證的網站(如OWA)
有效猜測及取得使用者的密碼

: ---
: 我後來設定的密碼會使用超過 10 的字 大概是 2~3 的單詞
: 可能的話 會替換掉中間的字詞 像是 0 -> O 或者其他字詞
: 另外 有的選擇的話不要使用線上密碼產生器、碼強度驗證之類的服務
: 對於相對壞心眼的人來說 使用密碼產生器等於道這個 IP/瀏覽器的密碼
: 同理 使用密碼強度驗證... (以下略)
: [0]: https://www.youtube.com/watch?v=EaRCfmEV0DE
: [1]: https://en.wikipedia.org/wiki/Ready_Player_One_(film)

--