我一直认为密码更改间隔应该与当前的处理能力挂钩。随着计算能力提高,破解哈希生成彩虹表所花费的时间越来越短。想一想摩尔定律就明白了。我认为应该使用破解工具作为基准,算出一个现实的破解哈希密码所需要的时间,然后来确定到底需要多长时间来改变一次密码。
我不明白的是更改密码的要求变得越来越短。10年前,每年更改一次密码在许多系统上已经足够了。最近90天是标准。现在我相信很快会看到60天、30天。
用户有时会共享密码。这是很让人头疼的,而周期性更改密码的要求会有助于解决这个问题。我赞同强制更改密码,即使这有可能导致用户采取低强度的密码,但要教给他们良好的密码生成方法,还要给他们提供工具。你可以每年自己破解密码哈希几次,这会迫使那些密码强度弱的用户转变态度。许多用户使用默认密码,如果你有5000个用户,其中至少有100人使用相同的密码。破解密码总是很容易,但重要的是培训好重要的用户,或者给他们工具。
9 7 3 1 2 4 8 :