管理者/ Windowsパスワードに必要な強度[非公開]

ドメインのWindowsパスワードに必要なパスワード強度のポリシーを考えています。特殊文字と大文字を使用して、最小10文字に傾いていました。いくつかの誤った推測の後にアカウントがロックされるようにポリシーを設定しているので、最小の長さと複雑さの要件と組み合わせて、今日の環境ではこれで十分ですか？他にどのようなパスワード対策を講じることができますか？

（同様の質問が以前に聞かれたことがあることは知っていますが、パスワードのセキュリティの状態はここ1〜2年で大幅に変化しました。）

http://xkcd.com/936/

それは漫画かもしれませんが、それは非常に良いポイントになります。特殊文字と大文字と小文字の組み合わせは、一部の人々にとって覚えにくい場合があります。長いパスワードは非常に覚えやすく、より安全です。ただ考えて、心に留めておくべきもの。

パスワードのセキュリティとパスワードの管理は、注意すべき危険です。

一般的なセキュリティ戦略には次のものがありますが、これらに限定されません：

• 最小文字長（いくつかの議論6、いくつかの議論8）
• 大文字と小文字の区別
• 数値
• 特殊文字（） '"/？`〜！@＃$％^＆*-= +およびスペース文字
• パスワードの有効期限
• パスワード履歴の区別（パスワードをx個の履歴パスワードと同じにすることはできません）

上記を行うことで十分であると主張する人もいれば、まだ十分ではないと主張する人もいます。

他の人々は、パスワードの複雑さはパスワードを保護するのに十分であるべきだと主張しますが、より複雑なパスワードの問題はユーザーにとって覚えにくいことです。どちらも考慮すべきリスクです。

文字の置換が十分であると信じている人は言うまでもありません。たとえば、hackersパスワードの代わりにを使用します4@ck3r5。誰かが置換アルゴリズムで共通のパスワードデータベースを使用している場合、これは人々が信じるほどには役に立たない。

興味深いルートの1つは、ユーザーにパスワードではなくパスフレーズを使用させることです。違い？パスフレーズは覚えやすく、本質的にすべてのパスワードの複雑さの要件を考慮に入れます。例：I'm the 1st king of England!複雑ではadf983l3.2-aa!#s0ありませんが、より複雑ではなく、前者の方が覚えやすいです。

注：パスワードポリシーを採用することは、システムを侵入者から保護するための万能ではありません。これは、配置する必要のある他の多くの対策の1つにすぎず、システムとユーザーの適性に対してセキュリティポリシーを常に比較検討する必要があります。あなたは世界で最新かつ最高の、そして最も安全なシステムで壁にボールで固定することができますが、ユーザーがまだパスワードを付箋紙に書き込み、それをモニターの横にテープで留めるなら、あなたはもっと大きくなります問題。