企业信息安全之密码
做了很多项目,每一个项目都会涉及到一堆的密码。根据不同的要求,对密码的要求也不一样,如长度,字符组合,周期等。在密码安全方面,我遇到过很多的问题,也听说过很多的故障。有几件事,印象深刻,一起分享一下。第一件事,04年左右,当时做一个经分系统,密码管理较严,三个月一改,字符必须是字母+数字+特殊字符,而且密码不能与前6次同。客户专门有人管理密码。这是做了这么多年,密码最轻松的时间。说这件事,主要目的是想说明密码并不难管,只要肯下功夫。
第二件事,记得当时做一个平台,有几十台服务器,我做为DB工程师,负责数据库这块。当时还是开发测试阶段,为了方便,所有密码统一。对开发来说,这非常方便,但接下来出现的一件事, 出问题。一次一个哥们,处理问题,由于每个服务器的密码都一样,所以上错了服务器,并关闭了服务器。虽然只是开发系统,但同样给我们敲响了警钟。所以同一个密码要不得。
第三件事,一次协助一个项目,需要进入很多台服务器。当时,时间很紧,到达现场后,发现拿的密码表单的密码不能用,全是错的。协调人立马去找相关负责人,但是其存的密码也不是最新的,部不密码不能用。向下再找到管理相关服务器的人员,有些人员已离职。最后,一天的工程,花了三天才做完,大部分时间找密码去了。
第四件事,一次与客户吃饭,说到密码管理的问题,大家都很头痛,经常将生活中的私人密码与工作中的工作密码搞混,造成不必要的麻烦。他说了他的解决之道,他的密码都很长,最少14位以上,而且还好记,他的方法是图形密码,在键盘上画图,记住图形就可以了。
密码复杂了记不住,密码简单了又不安全...:( 哈,我现在采取的是,密码复杂,但有规律。比如把IP增加到密码中,再增加一些有规律的字符。只要记规律,不用记密码。要好记得多。 用户多了,还是采用统一认证系统吧;
页:
[1]