火星科技网您的位置:首页 >人工智能 >

密码到期时间已经过期 您的密码也已存在

导读 梅是一个重要的月份,这标志着对非理性偏执的理智和实用主义的胜利。我显然不是在谈论政治。我终于谈到了微软 - 最后!但是要归功于他们这

梅是一个重要的月份,这标志着对非理性偏执的理智和实用主义的胜利。我显然不是在谈论政治。我终于谈到了微软 - 最后!但是要归功于他们这样做!-从其Windows 10安全基准中删除密码过期策略。

虽然NIST和其他人在此之前应该得到这种信誉,但我认为值得花一点时间来认识到这个时刻真正是行业的根本变革。- SwiftOnSecurity(@SwiftOnSecurity)

许多企业级组织(包括TechCrunch的所有者Verizon)要求其用户定期更改其密码。这是一个非常适得其反的政策。要引用微软:

最近的科学研究质疑许多长期密码安全实践(如密码过期策略)的价值,而不是指向更好的替代方案......如果密码永远不会被窃取,则无需过期。如果您有证据证明密码被盗,您可能会立即采取行动,而不是等待到期以解决问题。

...如果组织已成功实施禁用密码列表,多因素身份验证,检测密码猜测攻击以及检测异常登录尝试,他们是否需要定期密码到期?如果他们没有实施现代缓解措施,他们将从密码到期中获得多少保护?...定期密码到期是一个古老而过时的缓解非常低的价值

如果您在此类组织中有密码,我建议您将该博客帖子发送给其系统管理员。当然,他们会忽略你,因为这是企业管理员所做的事情,而且因为信息安全(如运输安全)往往是一种非理性的单向棘轮,因为我们的恐惧文化激励了安全剧院,而不是实际的安全 - 但他们可能勉强开始接受世界已经继续前进。

相反:使用密码管理器,如LastPass或1Password。(他们有可行的免费等级!你真的没有任何借口。)使用它来消除或至少减少密码重复使用跨站点。尽可能使用双因素身份验证。是的,即使是SMS双因素身份验证,尽管数字移植和SS7攻击,因为它仍然优于单因素身份验证。

如果您使用代码或数据存储库,请停止检查您的密码和API密钥到您的回购。我是咨询公司的首席技术官,你会惊讶于有多少次客户来这个不幸的设置来找我们。存储库访问不是细粒度的,repos很容易被复制和/或它们的副本放错位置,一旦你签入了凭据,它们就会非常难以真正删除。使用像环境变量这样简单的东西是一个巨大的进步,并且当在多个环境中工作时,也会使您的生活在许多方面变得更简单。

完美的安全性不存在。世界级的安全很难。但是,如果你忠实地遵循一些基本规则,那么体面的安全通常是非常容易获得为了做到这一点,最好将这些规则保持在最低限度,并摆脱那些没有意义的规则。密码过期就是其中之一。告别它,并且很好地解决问题。

标签:

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。