賬戶密碼最佳實(shí)踐

本幫助文檔旨在指導(dǎo)系統(tǒng)管理人員或安全檢查人員進(jìn)行通用的賬戶密碼合規(guī)性檢查和配置規(guī)范，使用本文檔指導(dǎo)修改生產(chǎn)環(huán)境配置之前應(yīng)該先進(jìn)行充分測(cè)試驗(yàn)證，避免對(duì)生產(chǎn)業(yè)務(wù)造成干擾：

通用的賬戶密碼 (通用密碼包含:操作系統(tǒng)、web應(yīng)用、數(shù)據(jù)庫(kù)等)在技術(shù)條件滿足時(shí)，賬戶/密碼認(rèn)證建議滿足如下規(guī)則：

一、???? 賬戶與密碼配置策略

密碼應(yīng)該長(zhǎng)度不少于10位；

建議不要使用有一定特征和規(guī)律容易被破解的常用口令的密碼（如：在常用彩虹表中的密碼、滾鍵盤密碼如：!QAZxsw2，qazxsw，1qaz@WSX，1q2w3e，123456789，password等），且密碼復(fù)雜度至少包含大寫字母、小寫字符、數(shù)字、特殊字符四類中的三種；

密碼盡量不要包含賬戶如：adminstrator/administrator，test/test，root/root，oracle/oracle，mysql/mysql；

建議至少每90天更改一次密碼，若賬戶已經(jīng)處于失效狀態(tài)，則不要求修改；

建議不要重復(fù)使用最近5次（含5次）內(nèi)已使用的密碼；

建議根據(jù)不同應(yīng)用設(shè)置不同的帳號(hào)密碼，不建議多個(gè)應(yīng)用使用同一套賬戶/密碼；

帳號(hào)管理人員初次發(fā)放或者初始化密碼給用戶時(shí)，如果知道密碼內(nèi)容，建議強(qiáng)制用戶首次使用修改密碼，不能強(qiáng)制用戶修改密碼的則為密碼設(shè)置過期期限（用戶必須及時(shí)更改密碼，否則密碼應(yīng)被強(qiáng)制失效）；

建議為所有賬戶配置設(shè)置連續(xù)認(rèn)證失敗次數(shù)超過5次（不含5次），鎖定賬號(hào)策略和30分鐘自動(dòng)解除鎖定策略；

建議對(duì)所有賬戶設(shè)置不活動(dòng)時(shí)間超過10分鐘自動(dòng)退出或鎖定策略；

新建系統(tǒng)中的帳號(hào)缺省密碼在首次使用前，建議強(qiáng)制用戶更改；

建議開啟賬戶登錄記錄日志功能，登錄日志最少保存180天，登錄日志中不能保存用戶的密碼。

二、???? 賬戶與密碼傳輸策略

不建議以明文形式通過Internet、無(wú)線設(shè)備傳送密碼，所有賬號(hào)密碼認(rèn)證體系在技術(shù)支持條件下，建議使用加密協(xié)議安全登錄；

建議為用戶建立安全的密碼自助重置流程，密碼重置應(yīng)驗(yàn)證用戶身份，比如郵件驗(yàn)證碼驗(yàn)證、預(yù)留手機(jī)短信驗(yàn)證、

通用安全

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。