美國(guó)科學(xué)研究室與國(guó)家標(biāo)準(zhǔn)技術(shù)研究院NIST會(huì)經(jīng)常發(fā)布密碼安全準(zhǔn)則，我們可以參考這些標(biāo)準(zhǔn)來(lái)提高密碼安全性。其中有些標(biāo)準(zhǔn)可能與我們通常認(rèn)為的提高密碼安全性的做法不同，比如NIST準(zhǔn)則指出，建議使用短語(yǔ)密碼，因?yàn)樗鼈儽葟?fù)雜的密碼更安全。

　　終端用戶(hù)密碼是整個(gè)安全協(xié)議中最弱的部分，大多數(shù)用戶(hù)傾向于在工作帳戶(hù)和個(gè)人帳戶(hù)之間重用密碼。

　　他們還可能選擇相對(duì)較弱的密碼，雖然這些密碼可以滿(mǎn)足公司密碼策略的要求，但很容易被猜測(cè)或強(qiáng)行使用，而且公司的用戶(hù)也可能無(wú)意中使用了違反密碼的公司帳戶(hù)密碼。

　　NIST擁有一個(gè)網(wǎng)絡(luò)安全框架，可幫助組織解決其環(huán)境中常見(jiàn)的網(wǎng)絡(luò)安全漏洞，包括弱密碼，重復(fù)使用的密碼和違反密碼規(guī)則的密碼。這篇文章將仔細(xì)介紹了NIST密碼準(zhǔn)則，并了解如何有效審核密碼策略以確保它們符合NIST推薦的標(biāo)準(zhǔn)。

　　NIST密碼準(zhǔn)則和最佳做法

　　在標(biāo)題為“存儲(chǔ)的秘密驗(yàn)證者”的一章中介紹了有關(guān)密碼的特定指南，NIST在密碼管理方面有一些建議：

　　1.密碼長(zhǎng)度不少于8個(gè)字符；

　　2.ASCII字符可以和空格一起使用；

　　3.如果服務(wù)提供商隨機(jī)選擇密碼，則密碼長(zhǎng)度必須至少為6個(gè)字符；

　　4.應(yīng)將密碼與已知的常用密碼，預(yù)期密碼或已泄露的密碼進(jìn)行比較。

　　什么類(lèi)型的密碼是常用的、預(yù)期的或被破壞的？

　　1.以前違反密碼規(guī)則的密碼；

　　2.字典單詞；

　　3.連續(xù)或重復(fù)的字符；

　　4.與上下文相關(guān)的單詞（包括用戶(hù)名、企業(yè)名稱(chēng)等）。

　　NIST還推薦了以下其他密碼安全機(jī)制，包括：

　　1.限速登錄嘗試失??；

　　2.不強(qiáng)制用戶(hù)在任意天數(shù)后更改密碼；

　　3.如果有證據(jù)表明帳戶(hù)密碼被泄漏（即密碼被泄漏），則強(qiáng)制更改密碼；

　　4.應(yīng)該向用戶(hù)提供有關(guān)特定密碼策略要求的指南。

　　審核Active Directory密碼策略

　　如今，大多數(shù)企業(yè)組織都使用Microsoft Active Directory作為其集中式身份源和訪(fǎng)問(wèn)管理解決方案。許多策略使用組策略提供的內(nèi)置Active Directory密碼策略，作為組策略帳戶(hù)策略的一部分，內(nèi)置的密碼策略提供了為Active Directory環(huán)境創(chuàng)建密碼策略的基本功能。

　　下面是配置有默認(rèn)密碼策略設(shè)置的默認(rèn)域策略的示例，包括：

　　1.密碼最長(zhǎng)使用期限；

　　2.最短密碼期限；

　　3.最小密碼長(zhǎng)度。

　　密碼必須符合復(fù)雜性要求

　　默認(rèn)的域策略密碼策略

　　正如你在“密碼策略”屬性中看到的那樣，沒(méi)有內(nèi)置的方法可以檢測(cè)到違反的密碼或上傳用于自定義字典目的的密碼列表文件。根據(jù)NIST建議的密碼準(zhǔn)則，此策略不符合NIST標(biāo)準(zhǔn)。

　　如果你有許多不同的密碼策略，并且可能有許多不同的密碼設(shè)置和配置，該怎么辦？你如何有效地審核Active Directory密碼策略，以查看它們?nèi)绾畏螻IST標(biāo)準(zhǔn)和其他標(biāo)準(zhǔn)的建議？

　　使用Specops Password Auditor工具對(duì)標(biāo)NIST標(biāo)準(zhǔn)

　　如果你擁有一個(gè)可提供所有Active Directory密碼策略可見(jiàn)性的工具以及這些策略如何符合領(lǐng)先的行業(yè)標(biāo)準(zhǔn)，情況會(huì)怎樣？Specops Password Auditor是一個(gè)強(qiáng)大的工具，不僅使你可以快速查看Active Directory環(huán)境中的危險(xiǎn)密碼。它還使你可以根據(jù)頂級(jí)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)快速審核現(xiàn)有密碼策略，以確保符合這些策略。

　　如你所見(jiàn)，Specops Password Auditor工具使你可以快速查看組織的Active Directory環(huán)境中的危險(xiǎn)密碼。比如：

　　空白密碼

　　違反密碼設(shè)置的密碼

　　相同的密碼

　　管理員帳號(hào)

　　過(guò)期的管理員帳戶(hù)

　　非必須密碼

　　永久密碼

　　密碼過(guò)期

　　密碼過(guò)期

　　密碼策略

　　密碼策略用法

　　密碼政策合規(guī)

　　Specops密碼審核員

　　Specops Password Auditor的“密碼策略合規(guī)性”報(bào)告將現(xiàn)有Active Directory密碼策略中的設(shè)置與以下標(biāo)準(zhǔn)進(jìn)行比較：

　　MS研究

　　MS TechNet

　　NCSC

　　NIST

　　PCI

　　SANS管理員

　　SANS用戶(hù)

　　你可以快速查看你現(xiàn)有的密碼策略是否滿(mǎn)足各種網(wǎng)絡(luò)安全標(biāo)準(zhǔn)建議的要求，當(dāng)執(zhí)行審核以使安全策略與不同的網(wǎng)絡(luò)安全框架（如NIST）保持一致時(shí)，它可以抵消IT或安全管理員的巨大負(fù)擔(dān)。如你所見(jiàn)，cloud.local策略就不符合NIST。

　　Specops Password Auditor密碼策略合規(guī)性報(bào)告

　　如果你點(diǎn)擊NIST下的“紅框”查看特定的域密碼策略，你會(huì)看到為什么該策略不符合特定的標(biāo)準(zhǔn)。我們看到最小長(zhǎng)度和字典設(shè)置都失敗了。

　　將你的密碼政策與NIST標(biāo)準(zhǔn)進(jìn)行比較

　　使用Specops Password Auditor和Specops密碼策略

　　通過(guò)Specops Password Auditor，你可以很好地查看Active Directory密碼策略與行業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的對(duì)比。使用Specops密碼策略，你可以輕松實(shí)現(xiàn)Active Directory密碼策略的更高級(jí)組合，包括自定義詞典文件和查看違背密碼保護(hù)的功能。

　　總結(jié)

　　使用推薦的網(wǎng)絡(luò)安全最佳實(shí)踐（如NIST）來(lái)維護(hù)Active Directory環(huán)境的可見(jiàn)性和合規(guī)性，是增強(qiáng)環(huán)境安全性的好方法。NIST是著名的行業(yè)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全框架，可為密碼安全提供更好的指導(dǎo)。

　　當(dāng)今，大多數(shù)企業(yè)都在環(huán)境中使用Active Directory密碼策略。根據(jù)NIST標(biāo)準(zhǔn)對(duì)密碼策略進(jìn)行審核有助于查看現(xiàn)有策略中可能需要重新訪(fǎng)問(wèn)的所有方面。

　　Specops Password Auditor使密碼安全審核過(guò)程非常容易，它會(huì)自動(dòng)提取環(huán)境中現(xiàn)有密碼策略的所有設(shè)置，并將其與行業(yè)標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全框架（例如NIST）進(jìn)行比較。Specops密碼策略可以輕松實(shí)現(xiàn)NIST建議和其他如自定義字典和較弱的密碼保護(hù)。