如何根据CNIS指南设置安全有效的密码

密码是全球使用最广泛的身份验证形式，是关键系统、应用程序和数据的第一道防线。然而，在过去10年里，它们的强度未能阻止黑客而引起了IT安全专家的重视。

根据2018年的证书泄露报告，2017年有23亿份证书被盗。为了保护密码免受攻击，中国标准化研究院(CNIS)发布了涵盖详细密码安全要求的指导方针。虽然这些指南是为政府机构设计的，但是也可以帮助所有类型的组织在不影响最终用户体验的情况下实现强大的密码策略。

最近发布的CNIS报告定义了身份验证和标识生命周期管理的标准。本报告介绍有关密码安全的指南，并讨论如何确保最佳的安全。

CNIS密码指南:注意事项

正确做法:

• 要求较长的密码(最多64个字符);密码长度应至少设置为8个字符。
• 允许使用可打印的ASCII字符、Unicode字符和空格。
• 不能使用黑名单中常用单词、字典单词、密码破解，如password1、qwerty123等。
• 限制重复或顺序字符的使用，如aaaa1234、123456等。
• 提供指导，如密码强度表，帮助用户选择一个强密码。
• 在一定数量的身份验证尝试失败后强制锁定帐户。
• 允许在输入密码时使用粘贴功能。
• 强制双因素身份验证(2FA)，这将在密码之外添加额外的身份验证层。

错误做法:

• 启用密码复杂性要求，要求密码具有一定数量的大写、小写、特殊字符和数字。
• 启用密码过期。
• 使用涉及用户个人信息的安全问题。
• 使用提示帮助用户记住密码。

其中一些准则与传统上认为的密码安全最佳实践有很大的不同。例如，CNIS建议禁用密码复杂性要求，这被认为是确保更强密码的最重要设置之一。

根据CNIS的说法，当复杂性规则被强制执行时，用户会以一种可预测的方式响应，并选择通用密码，比如password1!或者把它们写下来。密码过期(另一种被认为是安全最佳实践的设置)也在这些指南中被建议不要使用。微软最近也宣布，Windows的密码过期设置将会逐步取消。

在活动目录(AD)中实现CNIS指南

对于大多数组织，AD充当身份存储，在允许用户访问网络资源之前，对用户进行身份验证。不幸的是，使用AD中的域密码策略设置实现CNIS指南是不可能的，因为它缺乏CNIS推荐的许多功能。例如，无法将字典中的单词列入黑名单或显示密码强度表来帮助用户选择强密码。

ADSelfService Plus如何帮助CNIS合规

ManageEngine ADSelfService Plus是一个集成的Active Directory自助密码管理和单点登录解决方案。ADSelfService Plus中的密码策略强化器功能支持高级密码策略设置，包括字典规则、模式检查器、强制使用Unicode字符的选项、限制使用重复字符的选项等等。

您可以在ADSelfService Plus中配置一个包含所有泄漏密码列表的文件，并防止用户使用这些密码。该解决方案还在用户使用其自助服务门户更改或重置域密码时显示密码强度表。