2021年10月29日
美國科學研究室與國家標準技術研究院NIST會經常發布密碼安全準則,我們可以參考這些標準來提高密碼安全性。其中有些標準可能與我們通常認為的提高密碼安全性的做法不同,比如NIST準則指出,建議使用短語密碼,因為它們比復雜的密碼更安全。
終端用戶密碼是整個安全協議中最弱的部分,大多數用戶傾向于在工作帳戶和個人帳戶之間重用密碼。
他們還可能選擇相對較弱的密碼,雖然這些密碼可以滿足公司密碼策略的要求,但很容易被猜測或強行使用,而且公司的用戶也可能無意中使用了違反密碼的公司帳戶密碼。
NIST擁有一個網絡安全框架,可幫助組織解決其環境中常見的網絡安全漏洞,包括弱密碼,重復使用的密碼和違反密碼規則的密碼。這篇文章將仔細介紹了NIST密碼準則,并了解如何有效審核密碼策略以確保它們符合NIST推薦的標準。
在標題為“存儲的秘密驗證者”的一章中介紹了有關密碼的特定指南,NIST在密碼管理方面有一些建議:
1.密碼長度不少于8個字符;
2.ASCII字符可以和空格一起使用;
3.如果服務提供商隨機選擇密碼,則密碼長度必須至少為6個字符;
4.應將密碼與已知的常用密碼,預期密碼或已泄露的密碼進行比較。
1.以前違反密碼規則的密碼;
2.字典單詞;
3.連續或重復的字符;
4.與上下文相關的單詞(包括用戶名、企業名稱等)。
NIST還推薦了以下其他密碼安全機制,包括:
1.限速登錄嘗試失敗;
2.不強制用戶在任意天數后更改密碼;
3.如果有證據表明帳戶密碼被泄漏(即密碼被泄漏),則強制更改密碼;
4.應該向用戶提供有關特定密碼策略要求的指南。
如今,大多數企業組織都使用Microsoft Active Directory作為其集中式身份源和訪問管理解決方案。許多策略使用組策略提供的內置Active Directory密碼策略,作為組策略帳戶策略的一部分,內置的密碼策略提供了為Active Directory環境創建密碼策略的基本功能。
下面是配置有默認密碼策略設置的默認域策略的示例,包括:
1.密碼最長使用期限;
2.最短密碼期限;
3.最小密碼長度。
默認的域策略密碼策略
正如你在“密碼策略”屬性中看到的那樣,沒有內置的方法可以檢測到違反的密碼或上傳用于自定義字典目的的密碼列表文件。根據NIST建議的密碼準則,此策略不符合NIST標準。
如果你有許多不同的密碼策略,并且可能有許多不同的密碼設置和配置,該怎么辦?你如何有效地審核Active Directory密碼策略,以查看它們如何符合NIST標準和其他標準的建議?
如果你擁有一個可提供所有Active Directory密碼策略可見性的工具以及這些策略如何符合領先的行業標準,情況會怎樣? Specops Password Auditor是一個強大的工具,不僅使你可以快速查看Active Directory環境中的危險密碼。它還使你可以根據頂級網絡安全標準快速審核現有密碼策略,以確保符合這些策略。
如你所見,Specops Password Auditor工具使你可以快速查看組織的Active Directory環境中的危險密碼。比如:
空白密碼
違反密碼設置的密碼
相同的密碼
管理員帳號
過期的管理員帳戶
非必須密碼
永久密碼
密碼過期
密碼過期
密碼策略
密碼策略用法
密碼政策合規
Specops密碼審核員
Specops Password Auditor的“密碼策略合規性”報告將現有Active Directory密碼策略中的設置與以下標準進行比較:
MS研究
MS TechNet
NCSC
NIST
PCI
SANS管理員
SANS用戶
你可以快速查看你現有的密碼策略是否滿足各種網絡安全標準建議的要求,當執行審核以使安全策略與不同的網絡安全框架(如NIST)保持一致時,它可以抵消IT或安全管理員的巨大負擔。如你所見,cloud.local策略就不符合NIST。
Specops Password Auditor密碼策略合規性報告
如果你點擊NIST下的“紅框”查看特定的域密碼策略,你會看到為什么該策略不符合特定的標準。我們看到最小長度和字典設置都失敗了。
將你的密碼政策與NIST標準進行比較
通過Specops Password Auditor,你可以很好地查看Active Directory密碼策略與行業標準網絡安全標準的對比。使用Specops密碼策略,你可以輕松實現Active Directory密碼策略的更高級組合,包括自定義詞典文件和查看違背密碼保護的功能。
使用推薦的網絡安全優秀實踐(如NIST)來維護Active Directory環境的可見性和合規性,是增強環境安全性的好方法。 NIST是著名的行業標準網絡安全框架,可為密碼安全提供更好的指導。
當今,大多數企業都在環境中使用Active Directory密碼策略。根據NIST標準對密碼策略進行審核有助于查看現有策略中可能需要重新訪問的所有方面。
Specops Password Auditor使密碼安全審核過程非常容易,它會自動提取環境中現有密碼策略的所有設置,并將其與行業標準的網絡安全框架(例如NIST)進行比較。Specops密碼策略可以輕松實現NIST建議和其他如自定義字典和較弱的密碼保護。