我们目前在
Windows AD域上具有几乎要求复杂密码的事实标准.但这个XKCD卡通几个月前引起了我的注意,当它出现在Coding Horror(我认为)时:
http://xkcd.com/936/
有没有人像这样改变他们的密码策略,即需要一个长短语而不是一个非字母字符的较短短语?如果是这样,您对第三方的审核有任何问题吗?我们经常接受我们的制药客户的审核,但我不确定他们是否会购买此产品.
这对我来说很有意义 – 尤其是当一个人发现因为无法记住而写下来的密码时.
是.如果您有联邦客户和其他类型的审核员,您将遇到PCI审核和联邦审核的问题.
即使一个容易记住的长度为32个字符的密码在技术上可能更安全,但审计人员并不关心 – 他们只是有一些政策需要一定的密码复杂性要求,如果您偏离,他们会得到你的情况.
例如,我的公司有一个审计员明确要求使用标准的开箱即用的Active Directory(2008R2)密码复杂性要求.密码复杂性要求包括大写字母,特殊字符等.
编辑:所以在此期间,直到密码复杂性的范例转换发生,鼓励您的用户使用像KeePass或LastPass等好的密码管理程序.
