美国科学研究院和美国国家标准与技术研究院(NIST)经常发布密码安全指南。我们可以参考这些标准来提高密码的安全性。其中一些标准可能与我们通常认为的提高密码安全性的标准不同。例如,NIST指南指出建议使用短语密码,因为它们比复杂密码更安全。最终用户密码是整个安全协议中最薄弱的部分,大多数用户倾向于在工作帐户和个人帐户之间重复使用密码。他们也可能会选择相对弱的密码,虽然满足企业密码策略要求,但容易被猜测或暴力破解,企业用户可能会不经意地使用违反密码的企业账户密码。NIST有一个网络安全框架,可帮助组织解决其环境中常见的网络安全漏洞,包括弱密码、重复使用的密码和违反密码规则的密码。这篇文章将仔细研究NIST密码指南,并学习如何有效地审核密码策略以确保它们符合NIST推荐的标准。NISTPasswordGuidelinesandBestPractices在标题为“StoredSecretAuthenticators”的章节中对密码有具体的指导方针,NIST在密码管理方面有一些建议:1.密码长度不应少于8个字符;2..ASCII字符可以和空格一起使用;3、如果服务商随机选择密码,密码长度必须至少为6个字符;4.将密码与已知常用密码、预期密码或泄露密码进行比对。常用、预期或损坏的密码类型是什么?1.以前违反密码规则的密码;2.词典单词;3.连续或重复的字符;4.上下文词(包括用户名、企业名称等)。NIST还推荐以下额外的密码安全机制,包括:1.限制失败的登录尝试;2.不要强迫用户在任意天数后更改密码;强制更改密码;4.应向用户提供有关具体密码政策要求的指导。审核ActiveDirectory密码策略如今,大多数企业组织都使用MicrosoftActiveDirectory作为其集中式身份源和访问管理解决方案。许多策略使用组策略提供的内置ActiveDirectory密码策略作为组策略帐户策略的一部分,内置密码策略提供了为ActiveDirectory环境创建密码策略的基本功能。以下是配置了默认密码策略设置的默认域策略示例,包括:1.最长密码使用期限;2.最低密码年龄;3.最小密码长度。密码必须满足复杂性要求默认域策略密码策略正如您在“密码策略”属性中看到的那样,没有内置方法来检测损坏的密码或上传用于自定义字典目的的密码列表文件。根据NIST推荐的密码准则,此策略不符合NIST。如果您有许多不同的密码策略,并且可能有许多不同的密码设置和配置怎么办?您如何有效地审核ActiveDirectory密码策略以查看它们如何符合NIST标准和其他标准建议?使用符合NIST标准的SpecopsPasswordAuditor工具基准如果您有一个工具可以查看所有ActiveDirectory密码策略以及它们如何符合领先的行业标准,那会怎样?SpecopsPasswordAuditor是一个强大的工具,它不仅可以让您快速查看ActiveDirectory环境中的危险密码。它还允许您根据顶级Web安全标准快速审核现有密码策略,以确保符合这些标准。如您所见,SpecopsPasswordAuditor工具允许您快速查看组织的ActiveDirectory环境中的危险密码。例如:空白密码违反密码相同密码设置密码管理员帐户过期管理员帐户非必需密码永久密码密码过期密码过期密码策略密码策略使用密码策略合规性SpecopsPasswordAuditorSpecopsPasswordAuditor的“密码策略合规性”合规性报告比较现有ActiveDirectory密码策略中的设置是否符合以下标准:MSResearchMSTechNetNCSCNISTPCISANSAdminSANSUsers您可以快速查看现有密码策略是否满足各种网络安全标准建议要求,它可以减轻IT的巨大负担或安全管理员执行审计以使安全策略与不同的网络安全框架(如NIST)保持一致。如您所见,cloud.local策略不符合NIST。SpecopsPasswordAuditor密码策略合规性报告如果您单击NIST下的“红色框”查看特定的域密码策略,您将看到该策略不符合指定标准的原因。我们看到最小长度和字典设置都失败了。使用Specops密码审计器和Specops密码策略将您的密码策略与NIST标准进行比较使用Specops密码审计器,您可以很好地了解您的ActiveDirectory密码策略与行业标准网络安全标准的比较情况。借助Specops密码策略,您可以轻松实施更高级的ActiveDirectory密码策略组合,包括自定义字典文件和查看密码保护违规的能力。结论使用推荐的网络安全最佳实践(如NIST)来维护ActiveDirectory环境的可见性和合规性是增强环境安全性的好方法。NIST是著名的行业标准网络安全框架,可为密码安全提供更好的指导。如今,大多数企业在其环境中使用ActiveDirectory密码策略。根据NIST标准对密码策略进行审核有助于查看可能需要重新审视的现有策略的所有方面。SpecopsPasswordAuditor通过自动从您环境中的现有密码策略中提取所有设置并将它们与NIST等行业标准网络安全框架进行比较,从而简化密码安全审核过程。Specops密码策略可以轻松实施NIST建议和其他建议,例如自定义词典和较弱的密码保护。本文翻译自:https://thehackernews.com/2021/01/creating-strong-password-policy-with.html如有转载请注明出处。
