美國科學(xué)研究室與國家標(biāo)準(zhǔn)技術(shù)研究院NIST會經(jīng)常發(fā)布密碼安全準(zhǔn)則，我們可以參考這些標(biāo)準(zhǔn)來提高密碼安全性。其中有些標(biāo)準(zhǔn)可能與我們通常認(rèn)為的提高密碼安全性的做法不同，比如NIST準(zhǔn)則指出，建議使用短語密碼，因為它們比復(fù)雜的密碼更安全。

　　終端用戶密碼是整個安全協(xié)議中最弱的部分，大多數(shù)用戶傾向于在工作帳戶和個人帳戶之間重用密碼。

　　他們還可能選擇相對較弱的密碼，雖然這些密碼可以滿足公司密碼策略的要求，但很容易被猜測或強(qiáng)行使用，而且公司的用戶也可能無意中使用了違反密碼的公司帳戶密碼。

　　NIST擁有一個網(wǎng)絡(luò)安全框架，可幫助組織解決其環(huán)境中常見的網(wǎng)絡(luò)安全漏洞，包括弱密碼，重復(fù)使用的密碼和違反密碼規(guī)則的密碼。這篇文章將仔細(xì)介紹了NIST密碼準(zhǔn)則，并了解如何有效審核密碼策略以確保它們符合NIST推薦的標(biāo)準(zhǔn)。

　　NIST密碼準(zhǔn)則和最佳做法

　　在標(biāo)題為“存儲的秘密驗證者”的一章中介紹了有關(guān)密碼的特定指南，NIST在密碼管理方面有一些建議：

　　1.密碼長度不少于8個字符；

　　2.ASCII字符可以和空格一起使用；

　　3.如果服務(wù)提供商隨機(jī)選擇密碼，則密碼長度必須至少為6個字符；

　　4.應(yīng)將密碼與已知的常用密碼，預(yù)期密碼或已泄露的密碼進(jìn)行比較。

　　什么類型的密碼是常用的、預(yù)期的或被破壞的？

　　1.以前違反密碼規(guī)則的密碼；

　　2.字典單詞；

　　3.連續(xù)或重復(fù)的字符；

　　4.與上下文相關(guān)的單詞（包括用戶名、企業(yè)名稱等）。

　　NIST還推薦了以下其他密碼安全機(jī)制，包括：

　　1.限速登錄嘗試失?。?/p>

　　2.不強(qiáng)制用戶在任意天數(shù)后更改密碼；

　　3.如果有證據(jù)表明帳戶密碼被泄漏（即密碼被泄漏），則強(qiáng)制更改密碼；

　　4.應(yīng)該向用戶提供有關(guān)特定密碼策略要求的指南。

　　審核Active Directory密碼策略

　　如今，大多數(shù)企業(yè)組織都使用Microsoft Active Directory作為其集中式身份源和訪問管理解決方案。許多策略使用組策略提供的內(nèi)置Active Directory密碼策略，作為組策略帳戶策略的一部分，內(nèi)置的密碼策略提供了為Active Directory環(huán)境創(chuàng)建密碼策略的基本功能。

　　下面是配置有默認(rèn)密碼策略設(shè)置的默認(rèn)域策略的示例，包括：

　　1.密碼最長使用期限；

　　2.最短密碼期限；

　　3.最小密碼長度。

　　密碼必須符合復(fù)雜性要求

　　默認(rèn)的域策略密碼策略

　　正如你在“密碼策略”屬性中看到的那樣，沒有內(nèi)置的方法可以檢測到違反的密碼或上傳用于自定義字典目的的密碼列表文件。根據(jù)NIST建議的密碼準(zhǔn)則，此策略不符合NIST標(biāo)準(zhǔn)。

　　如果你有許多不同的密碼策略，并且可能有許多不同的密碼設(shè)置和配置，該怎么辦？你如何有效地審核Active Directory密碼策略，以查看它們?nèi)绾畏螻IST標(biāo)準(zhǔn)和其他標(biāo)準(zhǔn)的建議？

　　使用Specops Password Auditor工具對標(biāo)NIST標(biāo)準(zhǔn)

　　如果你擁有一個可提供所有Active Directory密碼策略可見性的工具以及這些策略如何符合領(lǐng)先的行業(yè)標(biāo)準(zhǔn)，情況會怎樣？Specops Password Auditor是一個強(qiáng)大的工具，不僅使你可以快速查看Active Directory環(huán)境中的危險密碼。它還使你可以根據(jù)頂級網(wǎng)絡(luò)安全標(biāo)準(zhǔn)快速審核現(xiàn)有密碼策略，以確保符合這些策略。

　　如你所見，Specops Password Auditor工具使你可以快速查看組織的Active Directory環(huán)境中的危險密碼。比如：

　　空白密碼

　　違反密碼設(shè)置的密碼

　　相同的密碼

　　管理員帳號

　　過期的管理員帳戶

　　非必須密碼

　　永久密碼

　　密碼過期

　　密碼過期

　　密碼策略

　　密碼策略用法

　　密碼政策合規(guī)

　　Specops密碼審核員

　　Specops Password Auditor的“密碼策略合規(guī)性”報告將現(xiàn)有Active Directory密碼策略中的設(shè)置與以下標(biāo)準(zhǔn)進(jìn)行比較：

　　MS研究

　　MS TechNet

　　NCSC

　　NIST

　　PCI

　　SANS管理員

　　SANS用戶

　　你可以快速查看你現(xiàn)有的密碼策略是否滿足各種網(wǎng)絡(luò)安全標(biāo)準(zhǔn)建議的要求，當(dāng)執(zhí)行審核以使安全策略與不同的網(wǎng)絡(luò)安全框架（如NIST）保持一致時，它可以抵消IT或安全管理員的巨大負(fù)擔(dān)。如你所見，cloud.local策略就不符合NIST。

　　Specops Password Auditor密碼策略合規(guī)性報告

　　如果你點擊NIST下的“紅框”查看特定的域密碼策略，你會看到為什么該策略不符合特定的標(biāo)準(zhǔn)。我們看到最小長度和字典設(shè)置都失敗了。

　　將你的密碼政策與NIST標(biāo)準(zhǔn)進(jìn)行比較

　　使用Specops Password Auditor和Specops密碼策略

　　通過Specops Password Auditor，你可以很好地查看Active Directory密碼策略與行業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的對比。使用Specops密碼策略，你可以輕松實現(xiàn)Active Directory密碼策略的更高級組合，包括自定義詞典文件和查看違背密碼保護(hù)的功能。

　　總結(jié)

　　使用推薦的網(wǎng)絡(luò)安全最佳實踐（如NIST）來維護(hù)Active Directory環(huán)境的可見性和合規(guī)性，是增強(qiáng)環(huán)境安全性的好方法。NIST是著名的行業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全框架，可為密碼安全提供更好的指導(dǎo)。

　　當(dāng)今，大多數(shù)企業(yè)都在環(huán)境中使用Active Directory密碼策略。根據(jù)NIST標(biāo)準(zhǔn)對密碼策略進(jìn)行審核有助于查看現(xiàn)有策略中可能需要重新訪問的所有方面。

　　Specops Password Auditor使密碼安全審核過程非常容易，它會自動提取環(huán)境中現(xiàn)有密碼策略的所有設(shè)置，并將其與行業(yè)標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全框架（例如NIST）進(jìn)行比較。Specops密碼策略可以輕松實現(xiàn)NIST建議和其他如自定義字典和較弱的密碼保護(hù)。