当然，各方提供的“最佳实践标准”和审计部门的专员们会迫使我们用它。

　　以下是评论：

　　我为一家财富500强企业引入了“每90天改变你的密码”的规则，我来做个解释。许多人在多个系统上使用相同的密码。我发现其中有一台系统允 许用户查看名称目录中隐藏在文本域中的哈希密码，这是产品本身的弱点，我们发现这个哈希算法很容易破解，于是立即改变了哈希算法并且做出了90天的规则， 这样能够确保密码哈希的持续清洁，并且鼓励员工在外部网站使用与企业内部不同的密码。

　　缓解攻击不会改变它的发生概率，但能改变攻击成功的可能性。你所做的假设中所有的密码窃贼都会在试上几次强力攻击后放弃，一般来说是这样，但 并不总是。你暗示我们(审计部门)看不到不断变化的威胁是不对的，每90天的周期仍然太长，考虑到今天的处理能力。你必须采取长度、复杂性、历史以及各种 各样的帐户锁定策略。

 　 用户有时会共享密码。这是很让人头疼的，而周期性更改密码的要求会有助于解决这个问题。我赞同强制更改密码，即使这有可能导致用户采取低强度 的密码，但要教给他们良好的密码生成方法，还要给他们提供工具。你可以每年自己破解密码哈希几次，这会迫使那些密码强度弱的用户转变态度。许多用户使用默 认密码，如果你有5000个用户，其中至少有100人使用相同的密码。破解密码总是很容易，但重要的是培训好重要的用户，或者给他们工具。

  　我一直认为密码更改间隔应该与当前的处理能力挂钩。随着计算能力提高，破解哈希生成彩虹表所花费的时间越来越短。想一想摩尔定律就明白了。我认为应该使用破解工具作为基准，算出一个现实的破解哈希密码所需要的时间，然后来确定到底需要多长时间来改变一次密码。

　　我不明白的是更改密码的要求变得越来越短。10年前，每年更改一次密码在许多系统上已经足够了。最近90天是标准。现在我相信很快会看到60天、30天。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点