作为我们最近的后续 ISACA杂志 文章“NIST的新密码规则手册:更新的指南提供了好处和风险,我们想提供一些关于密码字典概念的额外想法. 正如我们的文章所言, 组织应该对密码字典的建立和维护进行适当的控制. 根据美国国家标准与技术研究院(NIST)最新指南所倡导的密码短语方法, 字典成为在用户身份验证凭证中增强复杂性和唯一性的主要工具. 因此,它对于确保对it资源的安全访问是不可或缺的.
对于初始建立密码字典, 从头开始构建一个全面且高度安全的字典可能很困难. 澳门赌场官方下载要记住:
- 错误密码和常用密码的开源列表是公开的,可以提供一个良好的起点. 商业服务已经花费了大量的时间和资源来研究和编译密码字典,值得投资.
- 仅仅实现一个标准字典是不够的. 它不会包括特定于该组织及其背景的禁令. 让组织领导和/或感兴趣的用户参与贡献与组织相关的名称和术语, 品牌形象, 密切的关系, 产品, 业务范围和人员. 确保阻止已知的(或可疑的)泄露凭据,并考虑使用字典来阻止使用员工特定信息(如姓名和用户名)。.
重要的是要注意,密码字典不应被视为“一次性完成”的任务. 组织和他们所处的环境是动态的, 随着时间的推移,密码字典将会过时. 组织应考虑以下几点:
- 随着坏密码和常用密码列表的发展,定期刷新标准字典. 定制的禁用单词和短语字典需要重新评估, 增强, 并定期更新.
- 如果违规发生(或被怀疑), 密码字典应该迅速更新,以防止潜在的使用妥协的短语.
字典的维护应该成为组织的常规和持续的过程. 建立字典维护过程的适当所有者(例如, IT安全或合规职能的领导者), 并将控制措施放在适当的位置,以确保定期和临时维护字典. 在高度敏感的应用中, 考虑定期对词典及其使用进行独立审计. 组织需要保证字典的有效性和健壮性不会随着时间的推移而削弱.
读读巴赫曼·富尔默、梅丽莎·沃尔特斯和比尔·阿诺德最近的作品 杂志 文章:
“NIST的新密码规则手册:更新的指南提供了好处和风险,” ISACA杂志, 2019年第1卷.
