密码制定策略

第1章   概述

1.1  目标

一直以来,互联网的发展都是以扩张效率为主导,激烈的竞争让互联网企业不得不争分夺秒地争抢发展速度,这个时候,安全很容易被视为降低开发效率的影响因素而被忽略。

弱口令指的是仅包含简单数字和字母的口令,通常认为容易被别人猜测到或被破解工具破解的口令均为弱口令。弱密码现象是一个典型的安全问题,其根本原因是安全管理的不健全。本文主要描述后台管理系统的密码制定策略(不包含主机密码策略)的安全加固和配置工作,最终用以指导系统实施。

1.2  预期读者

本文档用于指导系统工程师进行系统实施工作,架构师和系统工程师、运维人员应该通读本文档,选择适当方式用于自己的系统。

第2章    现状简介

经过渗透测试发现当前web应用存在弱口令漏洞,恶意的用户会使用弱口令尝试登录网站后台,从而得到网站的权限。几乎存在所有的后台管理系统和服务器中,如通元CMS存在默认的弱密码。

第3章   密码安全制定策略

3.1  避免出现弱密码

(1)密码口令的位数应在8以上

如果使用暴力猜解,8位以下的密码都很不安全,猜解的时间很短。

(2)应使用大小写字母、数字和特殊字符结合的方式

密码口令所使用的字符组合为大写字母+数字+特殊字符,如@Dc&20*Ser([email protected]$,这样能加大暴力猜解的难度,一台普通的PC破解需要 1 quintillion years。

(3)避免使用有规律有意义的字母、数字组合

类似dcapp2014server等使用既有单词或日期都很危险,容易被黑客字典收录。

3.2   密码的定期修改

制定了复杂度符合要求的密码还远远不够,需要定期修改密码,一般为每3月修改一次密码,且新密码复杂度要符合要求。

3.3   避免不同平台使用相同的密码

坚持一个系统使用一个特有的密码,不允许“一码多用”。

3.4   不要保存密码在本地

后台管理系统是WEB系统,现在很多浏览器会默认记住该URL的帐号和密码,请将浏览器设置为不记住该网站密码。密码复杂度较高,不易记住,但不能把密码保存到本地文件,需要“异地”保存,最好是可以记住。

时间: 2024-11-05 19:03:26

密码制定策略的相关文章

【翻译自mos文章】oracle密码管理策略

oracle密码管理策略 参考原文: Oracle Password Management Policy (Doc ID 114930.1) 细节: 密码管理通过使用profile来建立. 当密码过期后,如果user有能力独立地从 end-user application(前台业务软件)修改密码的话,通常的推荐是只指派给这些schemas 一个profile,该profile有  password aging an expiration features . 通常这意味着application(

mysql57的密码验证策略

本文转自:https://www.cnblogs.com/ivictor/p/5142809.html ERROR 1819 (HY000): Your password does not satisfy the current policy requirements 报错原因 为了加强安全性,MySQL5.7为root用户随机生成了一个密码,在error log中,关于error log的位置,如果安装的是RPM包,则默认是/var/log/mysqld.log. 一般可通过log_error

MySQL密码过期策略

如果要设置密码永不过期的全局策略,可以这样:(注意这是默认值,配置文件中可以不声明) [mysqld] default_password_lifetime=0 禁用密码过期: ALTER USER 'testuser'@'localhost' PASSWORD EXPIRE NEVER;

正则表达式验证6~30位数字,下划线,中划线,字母任意两种混合的密码验证策略

需求要求: 位数为6~30位 至少包含字母.数字.下划线_.中划线-中的两种 正则表达式: js表达式: ^(?!^[\d]+$)(?!^[-]+$)(?!^[_]+$)(?!^[a-zA-Z]+$)[\w-]{6,30}$ java表达式-字符串: "^(?!^[\\d]+$)(?!^[-]+$)(?!^[_]+$)(?!^[a-zA-Z]+$)[\\w-]{6,30}$" 解析: 至少四种中的两种也可以解释为为不是纯数字.不是纯字母.不是纯下划线,不是纯中划线 测试用例: 1234

微软账号被盗怎么办?Win10用户该如何解决?

俄罗斯黑客在黑市交易微软谷歌被盗账户一事被曝光,数亿用户信息安全面临威胁,本次事件再次为大数据时代的云安全敲响警钟.微软账户数量由于win10的出现而得以激增,微软已经表态采取了相关安全措施来解决问题.对于普通大发888用户来说,不管账户是否被盗,以下4个步骤是你应该执行或者注意的.1.定期修改账户密码,可以考虑每月和每个季度修改一次2.使用随机生成密码,或者说他人难以找出规律的字符串,包含字母.数字和符号组合3.每个账户使用不同密码,以免黑客把你的各种账户“一网打尽”4.使用不同的密码方式,比

Linux用户密码策略

Linux用户密码的有效期,是否可以修改密码可以通过login.defs文件控制.对login.defs文件修只影响后续建立的用户,如果要改变以前建立的用户的有效期等可以使用chage命令. Linux用户密码的复杂度可以通过pam pam_cracklib module或pam_passwdqc module控制,两者不能同时使用. 个人感觉pam_passwdqc更好用. /etc/login.defs密码策略 PASS_MAX_DAYS   99999     #密码的最大有效期, 999

server2008密码不满足密码策略的要求,检查最小密码长度、密码复杂性和密码历史的要求”的解决办法

由于域的规约而导致的问题,问题在于密码设定不符合策略组的规约.此时需要到域策略中设置响应选项来降低密码的复杂度.(默认的复杂度需要至少7字符,且包含多个字母和数字) Windows Server 2003解决办法是: 选择 开始>程序>管理工具>域安全策略>帐户策略>密码策略 密码必须符合复杂性要求:由"已启用"改为"已禁用": 密码长度最小值:由"7个字符"改为"0个字符" 使此策略修改生效有如

MySQL 5.7 的初始化操作(root初始密码、修改密码、密码策略、关闭IPv6监听)

我这里是通过mysql官方的yum源来安装的mysql-community-server ,当前版本是MySQL 5.7.12 . wget  rpm -ivh  mysql57-community-release-el6-8.noarch.rpm yum install mysql-community-server service mysqld start 第一次启动后会有个初始化的过程,会产生root账户的随机密码. 为了加强安全性,MySQL5.7为root用户随机生成了一个密码,在err

MYSQL提示密码强度不符合复杂性策略

报错提示: 处理方法:1.更换符合复杂性要求的密码2.关闭复杂性策略 mysql> set global validate_password_policy=0; # 关闭密码复杂性策略 mysql> set global validate_password_length=1; # 设置密码复杂性要求密码最低长度为1 mysql> select @@validate_password_policy; # 查看密码复杂性策略 mysql> select @@validate_passw