强密码(更多的安全认证层次)策略的最佳实践

 一次性密码(one-time password)，客户证书(client certificate)，智能卡(smart card)，生物识别(biometrics)等技术为帐号安全添加了新的层次。双重身份认证(two-factor authentication)则进一步增强了系统的安全性。越是关键的系统，越应该具有更多的安全认证层次。

然而，传统的密码仍然是用户认证的主要方式。而且，尽管系统具有多层次的安全认证方式，它们都还是依赖于用户名和密码组合。在建立一个密码策略时，企业应该强调以下这三个关键要素：

1)理解什么是密码策略

密码策略是一组安全规则，通过鼓励用户设置可靠，安全的密码，并且正确地保存，并利用它们，从而提高计算机的安全性。通常情况下，密码策略应该作为企业正式条例的一部分，并且是企业安全意识培训的内容之一。

虽然大多数用户了解简单密码所带来的安全风险，但是当用户必须花费时间去试图创建一个满足一系列标准的密码时，或者不得不去记住一个无比复杂的密码时，用户往往是会非常抗拒的。这就要求企业制定合理的安全条例，以及做好相关的培训，帮助用户理解强密码策略的必要性。

2)强密码策略的制定

定义“密码历史”(passwordhistory)策略: 记忆用户以前使用过的若干个密码。通过此策略的设置，用户在当前密码过期时就不能够重复使用以前相同的密码，以避免密码重用。

定义“密码最长使用期限”(Maximum password age)策略：密码在限定的期限内到期，通常情况下设置为30至90天。通过此策略的设置，如果攻击者破解了一个密码，他只能在密码过期之前的一段时间内访问帐号，从而尽量减少损失。

定义“密码最短使用期限”(Minimum password age)策略：密码一旦被设置便不能被随意改变，直到使用时间已经超过一定天数。此策略设置应与“密码历史”策略协同工作。 “密码最短使用期限”策略限制用户在短时间内反复地更改他们的密码，以达到绕过“密码历史”策略的设置，然后重复使用他们原来的密码。用户必须等待指定长的时间，一般是数天，才被允许更改他们的旧密码。

定义“最小密码长度”(Minimum password length)策略：密码必须至少包含指定数目的字符。长密码 -- 七个或更多字符 -- 通常比短密码更复杂。通过此策略的设置，用户必须创建具有一定长度的密码，从而减少被破解的几率。

定义“密码复杂性”(Password complexity)策略：此策略设置检查所有新密码以确保它们符合基本的强密码(Strong Password)要求。一般来说，强密码要求含有：大写字母，小写字母，特殊字符，数字等;但不应该含有：用户名，用户姓名，常见单词等。

3)定义合理的帐户锁定(Account Lockout)策略

帐户锁定策略不应该被随意使用。帐户锁定策略可以提高阻止未授权访问攻击的概率，但同时也可能锁定合法的授权用户。一旦合法用户的锁定达到一定的几率，企业同样会遭受不必要的损失。

如果决定使用帐户锁定策略，“帐户锁定阈值”(Account lockout threshold)策略应当设置为足够大的数字，从而合法授权用户不会因为错误地输入几次密码而被锁定帐户