強制設置復雜密碼
如上所述,一些朋友為了方便記憶為系統設置了簡單的密碼,為了防止這種情況的發生,我們可以使用組策略強制用戶使用復雜的密碼。
啟動組策略編輯器后依次展開“計算機配置→Windows設置→安全設置→賬戶策略→密碼策略”,打開右側窗格的“密碼必須符合復雜性要求”,然后將其設置為“已啟用”(圖1)。
圖1 啟用密碼必須符合復雜性要求策略
這樣以后如果你要設置賬戶密碼,那么創建的密碼就必須至少符合下列的要求:
1、不能包含用戶的賬戶名。
2、不能包含用戶姓名中超過兩個連續字符的部分。
3、至少有六個字符長。
4、包含以下四類字符中的三類字符——
英文大寫字母(A到Z)
英文小寫字母(a到z)
10個基本數字(0到9)
非字母字符(例如!、$、#、%)
比如我們現在創建一個賬戶時,如果還在試圖創建類似“123456”的密碼,那么系統會直接拒絕創建,只有創建符合上述要求的密碼才能生效(圖2)。
圖2 無法再創建簡單的密碼
因為復雜密碼需要進行多字符的設置,如果你覺得設置麻煩,可以登錄https://suijimimashengcheng.51240.com/,選擇所用字符和生成密碼長度,點擊“生成密碼”即可獲得自己所需的復雜密碼,不過我們建議在實際使用時一定要稍做更改(圖3)。
圖3 在線生成密碼
不過復雜密碼的使用是一把雙刃劍,在加強保護的同時也很容易給大家造成記憶負擔。對于Windows 10的用戶還可以點擊“設置→賬戶→登錄選項”,在右側窗格點擊PIN下的“添加”,為系統開啟PIN登錄,使用比較簡單的PIN密碼來登錄系統(圖4)。
圖4 PIN設置
小提示:PIN密碼和系統密碼的區別,PIN會綁定到設置它的特定設備上。如果沒有該特定硬件,此PIN對任何人都無用。盜取密碼的人可以在任何地方登錄你的賬戶,但是如果盜取PIN,他們還必須盜取你的物理設備才能登錄。
強制密碼使用時間
即使創建復雜密碼,但是一個密碼使用的時間長了以后還是很容易造成泄密。因此為了系統的安全,我們很有必要設置密碼的有效時間。
同上進入組策略設置頁面后,點擊右側的“密碼最長使用期限”,在打開的窗口設置密碼使用期限,期限可以在0~999(0表示無期限)之間選擇,一般家庭用戶建議半年期限,公司電腦則建議60天更換一下(圖5)。
圖5 設置密碼期限
當密碼使用期限到了以后,用戶在登錄界面輸入原來的密碼會顯示“密碼已經過期”。我們只有按要求進行密碼的更改才能繼續登錄系統。
阻止使用舊密碼
很多朋友對一些特殊密碼如自己生日、姓氏有喜好,這樣在忘記密碼的時候也喜歡將密碼重置為這些舊密碼,為了防止這些情況的發生,借助“強制密碼歷史”可以避免該問題的發生。
同上進入設置后開啟右側窗格的“強制密碼歷史”,然后將保留密碼歷史設置為10個記住的密碼(圖6)。
圖6 強制密碼歷史設置
通過上述設置,系統會記住10個你常用的密碼(最多24個)。如果你再次設置新密碼的時候,如果新舊密碼一致,那么系統就會彈出提示,阻止你前后使用一樣的密碼(圖7)。
圖7 阻止使用同樣的密碼
除此之外,我們還可以對密碼長度最小值進行設置,比如可以設置用戶密碼至少需要8個字符以防止猜解。另外還可以設置密碼最短使用期限,這可以在懷疑電腦被黑客入侵,或者感染惡意木馬時設置,這樣既可以阻止用戶循環使用所有舊密碼,也可以防止黑客在我們更改密碼時改回原來的密碼。
上面我們介紹了多個密碼使用策略,如果忘記密碼了怎么辦?Windows 8以上的用戶建議使用Windows Live賬戶登錄,這樣即使忘記密碼,我們也可以借助在線的方法重置自己的密碼。當然還可以準備包含了密碼破解的WinPE啟動盤,以備不時之需。
腦密碼、手機密碼、社交軟件密碼、各類金融賬戶密碼……在我們的日常生活中,密碼幾乎無處不在。
作為保護信息安全的第一道防線,密碼安全至關重要。然而,很多人的密碼卻“不堪一擊”,對個人信息安全、數據安全和財產安全等造成威脅。
今天,“保密觀”帶你一起“劃重點”,教你如何設置安全又好記的密碼。
1秒破解,
這些簡單密碼你還在用嗎
與用戶名或注冊名相同
越來越多網絡應用的出現導致我們的各類賬號不斷增加,為減輕記憶負擔,一些用戶直接將自己的用戶名或注冊名作為密碼使用,這種密碼形同虛設,等于在危險的邊緣試探。
與個人信息相關
很多用戶為了防止忘記密碼,習慣采用生日、手機號碼、身份證號、家人名字等作為密碼,這類密碼雖然方便好記,但與個人信息密切相關,且有一定組成規律,很容易被猜中或破解。
使用連續或重復字符
使用連續或重復的字符,如123456或222222等這類簡單的“懶人密碼”,安全系數較低,黑客可以通過窮舉攻擊輕而易舉地獲取用戶個人信息、財產信息或其他敏感數據,而這個過程甚至用不了1秒。
金融賬戶與其他常用賬號密碼相同
設置銀行賬戶密碼或支付密碼時,如果與手機、電腦等設備密碼或社交軟件、電子郵箱、網站、論壇等常用賬號的密碼相同或相近,看似使用方便,其實也為黑客提供了“便利”,存在被“撞庫”的風險。
好記難猜,
密碼設置使用有竅門
不管在日常生活還是“網上沖浪”,我們都有太多密碼需要記憶。許多人都有這樣的煩惱:密碼設置得太簡單怕被輕易破解,設置得太復雜又增加了記憶的難度。那么,怎樣才能設置一個既安全又好記的密碼呢?教你這幾個小竅門:
1.確定密碼長度,一般要大于8位。
2.選擇一個看似隨機且易于記憶的句子或一串字符作為基礎密碼。如座右銘的首字母縮寫:“世上無難事,只要肯登攀”的縮寫為sswnszykdp。
3.加上數字可讓基礎密碼更強化,如sswnszykdp2024;
→加上分隔符可進一步強化,如sswnszykdp_2024;
→使用大小寫再進一步強化,如SSWNSzykdp_2024。
4.創建一個規則,基于同一個基礎密碼,為不同網站生成不同的密碼。例如:保密觀+基礎密碼,可設置為:bmgSSWNSzykdp_2024。
此外,設置好密碼后,在使用時也不能大意。為避免埋下危險的“種子”,還要注意以下幾點:
不要“一碼多用”。“一套密碼走天下”相當于給黑客提供了一把“萬能鑰匙”,其安全隱患顯而易見。因此,為防止一個密碼泄露、多個賬戶淪陷,一定要避免所有賬戶使用同一個密碼。
定期修改密碼。經常修改密碼有助于提高密碼的安全度,減少密碼被破解的風險。要樹立重要密碼的管理意識,養成定期修改的習慣,例如每月或每季度修改一次。
啟用驗證機制。很多應用和網站都提供登錄多步驗證服務,在設置賬戶密碼時開啟多步驗證機制,除了賬號和密碼外,在登錄時還需要通過手機驗證碼等其他方式驗證,這樣即使密碼泄露,還有一道防線可以防止黑客入侵,保護數據和財產安全。
避免存儲密碼。很多人習慣在登錄時選擇自動保存密碼,這種操作存在一定風險。黑客可以利用專門的工具軟件,從緩存中分析出用戶輸入的各種密碼。因此,不要存儲或手動記錄密碼,必要時還需要及時清空電腦和手機中各類緩存和臨時文件。
以上密碼安全小知識,大家學會了嗎?讓我們增強密碼安全意識,一起善用密碼,守護網絡信息安全。
碼策略可確保用戶密碼強度高且定期更改,從而使攻擊者幾乎不可能破解密碼。為確保AD域中用戶帳戶的高度安全性,管理員必須配置和實施域密碼策略。密碼策略應提供足夠的復雜性、密碼長度以及更改用戶和服務賬戶密碼的頻率。因此可以使攻擊者更難以暴力破解或捕獲用戶密碼。
Active Directory
一、什么是 Active Directory 默認密碼策略
默認情況下,Active Directory 配置有默認域密碼策略。此策略定義 AD域用戶帳戶的密碼要求,例如密碼長度、年齡等。
密碼策略
二、如何編輯 AD 密碼策略
密碼策略由組策略配置并鏈接到域的根目錄。您可以使用以下兩種方式之一查看默認密碼策略。
轉到開始菜單→管理工具→組策略管理。
在控制臺中,打開 Forest,然后打開 Domains。選擇必須為其設置帳戶策略地域。
雙擊域以顯示鏈接到該域的GPO。
右鍵單擊默認域策略并選擇編輯。組策略編輯器控制臺將打開。
現在,導航到計算機配置→策略→ Windows 設置→安全設置→帳戶策略→密碼策略。
雙擊密碼策略則可以顯示AD中可用的六個密碼設置。右鍵單擊這些設置中的任何一項,然后選擇“屬性”以定義策略設置
每個策略設置的“屬性”對話框都有兩個選項卡。安全策略設置選項是設置該值的位置。解釋選項提供策略設置及其默認值的簡要說明。
在安全策略設置選項卡中,選中定義此策略設置復選框并輸入所需的值。單擊應用,然后單擊確定。
組策略管理編輯器顯示 Active Directory 中的默認域策略。
使用 PowerShell 腳本
您還可以使用此命令通過 Powershell 查看默認密碼策略。
獲取 ADDefaultDomainPasswordPolicy
密碼策略設置
三、了解密碼策略設置
到目前為止,我們已經了解了如何查看和更改策略。但您必須了解這些默認設置的含義,以便進行必要的更改。因此,讓我們來看看每個設置。
此設置確定在重新使用舊密碼之前必須設置的新密碼的數量。它確保用戶不會連續使用舊密碼,這將使最小密碼年齡策略設置無用。該值可以設置在 0 到 24 之間。域控制器上的默認值為24,獨立服務器上的默認值為0。
例如,如果 Enforce Password History 值設置為 10,則用戶必須在密碼過期時設置10個不同的密碼,然后才能將密碼設置為舊值。
如果該值設置為 0,則不會記住密碼歷史記錄,并且用戶可以在密碼過期時重新使用他們的舊密碼。
此設置確定密碼可以使用的最大天數。一旦密碼最長使用期限到期,用戶必須更改其密碼。它確保用戶不會永遠使用一個密碼。該值可以設置在 0 到 999 天之間。默認值為 42。
例如,如果“密碼最長使用期限”值設置為 60,則用戶必須每 60 天更改一次密碼。
如果該值設置為 0,則密碼永不過期,并且用戶無需更改他/她的密碼。
此設置確定密碼在更改之前必須使用的最少天數。只有當密碼最短使用期限到期時,才允許用戶更改他們的密碼。它確保用戶不會過于頻繁地更改密碼。該值可以設置在 0 到 999 天之間。域控制器的默認值為 1,獨立服務器的默認值為 0。
例如,如果最小密碼期限設置為 10,則用戶在最后一次密碼更改后的 10 天內不能更改他/她的密碼。
此設置用于確保強制密碼歷史設置的有效性。如果最小密碼年齡設置為 0,則用戶可以每 2 分鐘左右更改一次密碼,直到達到強制密碼歷史設置的值,然后重新使用他/她最喜歡的舊密碼。通過將最小密碼年齡設置為某個值,用戶無法頻繁更改他/她的密碼以使強制密碼歷史設置無效。
最短密碼使用期限的值應始終小于最長密碼使用期限。
此設置確定密碼應包含的最少字符數。該值可以設置在 0 到 14 之間。域控制器上的默認值為 7,獨立服務器上的默認值為 0。
例如,如果最小密碼長度設置為 6,則密碼必須至少包含 6 個字符。
如果設置為 0,則不需要密碼。
密碼策略規則
四、密碼必須滿足復雜性要求
此設置確定密碼是否必須滿足指定的復雜性要求。如果啟用此設置,密碼必須滿足以下要求。
密碼策略要求
五、使用可逆加密存儲密碼
此安全設置確定密碼是否使用可逆加密存儲。如果使用可逆加密存儲密碼,則解密密碼變得更容易。此設置在某些情況下很有用,其中應用程序或服務需要用戶的用戶名和密碼才能執行某些功能。僅在必要時才應啟用此設置。默認情況下,此設置被禁用。
雖然微軟為AD域用戶提供了較為完善的密碼策略,但隨著近年來各類攻擊形式的不斷升級,破解企業AD域用戶密碼已經不是什么難事。并且高強度的密碼策略對用戶的使用體驗也會大幅度降低,因此更加合理的解決AD域弱密碼問題成了企業的重點問題。
ADSelfService Plus
ADSelfService Plus是一款企業級AD域密碼自助管理工具,它能實現企業內部員工自助重置、修改密碼,還能對已鎖定賬戶進行解鎖。整個流程完全自助,卻不影響用戶密碼的安全性同時提供密碼黑名單功能,可以將常見的、易破解的密碼樣式加入黑名單,減少密碼被攻擊的可能性。而且它還能生成密碼狀態報告,讓管理員能清晰的了解每一次密碼修改情況,確保企業網絡安全。對密碼即將過期的用戶進行及時通知,使其在密碼過期之前及時修改。
密碼在我們的工作中無處不在,合理高效的利用密碼能確保我們的工作正常開展ADSelfService Plus作為一款AD域自助密碼管理工具,正在給越來越多企業的AD域管理帶來福利。