密码策略是一套针对密码如何创建、使用、存储、修改、保护及监控而设定的规则、控制措施与流程,适用于企业内部系统、用户账号、管理员账号、服务账号、应用、设备以及各类云平台,目的是让所有账号都遵循一致的密码安全标准。
在业务系统、网站、云服务、邮件平台、VPN、数据库、通讯工具和企业应用中,密码至今仍是最常用的身份验证方式之一。但密码也容易被猜测、复用、窃取、钓鱼、泄露或被暴力破解,因此组织需要一套明确的策略来降低账号失陷风险,提升身份安全水位。
现代密码策略绝不只是要求用户用上大小写字母、数字和符号。它还应同时考虑密码长度、密码复用、已知泄露密码黑名单、多因素认证、账号锁定、频率限制、密码管理器、安全存储、密码重置流程、特权账号、审计日志和用户教育。说到底,是要在安全、易用和运维可控之间找到一个可落地的平衡点。
密码策略的定义
定义与核心内涵
密码策略是一份书面化且可通过技术手段强制执行的密码规则集合,用来保护账号和系统。它适用于员工、管理员、外包人员、合作伙伴、客户、服务账号、API 调用、远程接入用户以及各类特权用户,明确定义了在密码创建、修改、重置、存储以及用于身份验证时哪些做法是可接受的。
密码策略的核心意义在于建立一套受控的密码安全标准,避免每个人自行其是。通过统一标准,可以有效减少弱密码、重复使用凭据、不受控的密码共享以及不一致的访问行为。
密码策略可以借助身份平台、目录服务、操作系统、云认证工具、SaaS 管理后台、密码管理器、特权访问管理系统以及应用层安全设置来落地执行。
密码策略将密码安全从个人习惯转变为组织级的访问控制规范。
密码策略为什么重要
密码策略之所以重要,是因为已泄露的密码通常是攻击者进入系统的主要通道。攻击者可能利用钓鱼邮件、凭据填充、暴力破解、密码喷洒、恶意软件、社交工程或已泄露的密码数据库来发起攻击。如果用户选择过于简单、重复使用、可预测或众所周知的密码,风险就会急剧上升。
一套清晰的策略可以通过设定最低安全要求并引导用户采用更安全的认证行为来降低这类风险。同时,它也能帮助管理员在不同系统、不同用户和不同部门之间统一管理账号安全。如果没有策略约束,密码操作容易变得杂乱无章,难以审计。
密码策略还有助于合规遵从、事件响应和安全治理。它能向外界证明组织的账号安全是受到管理的、访问是受控的,并且对于凭据泄露有一套明确的处置机制。
密码策略的工作原理
密码创建规则
密码创建规则明确了用户在设置新密码时必须遵守的要求,包括最小长度、支持的最大长度、禁止使用常见密码、避免夹带个人信息以及限制密码重复使用。现代策略往往更强调长密码或密码短语,而不是单纯堆砌多种字符类型。
好的密码创建规则应当帮助用户选择更强壮的密码,同时避免让过程变得过于痛苦。如果规则太繁琐,用户反而会走捷径,比如在常用词后加上“123!”、把密码写在便利贴上,或者在不同系统里微调同一个密码。
有效的密码策略应当在密码设置页面上就给出清晰说明,让用户明白为什么某个密码会被拒绝,以及怎样创建更好的密码。
密码验证
用户登录时,系统会将提交的密码与内部存储的密码记录进行比对。一个安全的系统绝不应该以明文形式存储真实密码,而需要通过安全的哈希算法,搭配适当的加盐和计算成本,生成密码的不可逆摘要存储起来。
登录验证时,系统对提交的密码执行同样的运算,再将结果与数据库中的哈希值做比对。匹配成功后,用户能否继续操作还取决于其他控制因素,例如多因素认证或条件访问规则。
验证过程还需内置防猜测保护,通过频率限制、账号锁定、递增延迟、机器人检测以及持续监控,有效削弱自动化攻击。
密码修改与重置
密码修改与重置流程定义了用户更新密码的途径。用户可能主动更换密码,也可能在出现泄露证据、可疑活动、账号劫持、管理员介入或用户请求时被要求强制更换。
密码重置流程必须足够安全,因为攻击者常常把目标对准这里。如果重置链接、服务台流程或密保问题存在安全短板,攻击者完全可以绕过密码本身。可靠的重置流程通常包含经过验证的邮箱、多因素认证、身份核验、有时限的重置链接、客服审批或安全的自助恢复选项。
在适用场景下,特别是发生泄露后,密码修改应同时使原有登录会话失效,避免攻击者在密码已被更新后仍能保持登录状态。
监控与强制执行
密码策略只有在通过技术手段强制执行并持续监控时才能真正发挥作用。策略设置可以拦截弱密码、禁止复用、要求 MFA、记录失败尝试、对可疑行为发出告警,以及阻止用户设置已被公开泄露的密码。
监控维度可以包括登录失败趋势、密码喷洒迹象、不可能出现的异地登录、异常登录来源、密码重置量突增、特权账号变更以及已知泄露凭据的检测。这些信号能帮助安全团队在攻击演变为严重事故前及早发现。
强制执行应当覆盖所有主要系统。哪怕对某个应用启用了严格的密码策略,只要另一个关键系统仍允许弱密码或复用密码,整个组织的安全防线就会出现缺口。
密码策略的主要特性
最小密码长度
最小密码长度是密码策略中最基础的设置之一。较长的密码通常比短密码更难猜测或破解,尤其当它们足够独特且并非基于常见词汇或固定模式时。
现在许多安全指南倾向于鼓励使用长密码或由多个随机词组成的密码短语,因为这对用户来说往往更好记,同时强度也更高。几个毫不相关的词语组合起来的密码短语,往往比一个挤满了强制符号的短密码更容易输入也更安全。
具体的最小长度设置应结合系统风险等级、是否已启用 MFA、用户群体类型以及账号的敏感程度来综合确定。
支持长密码和密码短语
理想的密码策略应允许设置足够长的密码。如果系统限制密码最大长度,反而会阻碍用户选用高强度的密码短语。尤其是在用户借助密码管理器生成独一无二的随机凭据时,对长密码的支持至关重要。
密码短语可以提升可用性,因为用户更容易记住一句类似句子或多词组合的密码,而不是一串随机短字符。但需要提醒用户,不应使用名人名言、常见歌词、公司标语或容易被猜出的个人信息作为密码短语。
在可行的情况下,系统应接受空格及尽量广泛的字符集,同时确保在登录、重置、移动端、网页端和 API 接口等不同场景下处理密码的方式保持一致。
拦截常见密码和已泄露密码
强而有力的密码策略应直接阻止用户设置那些已知的弱密码、常见密码、曾被泄露或出现在社工库中的密码。比如简单序列、重复字符、键盘排列、普通词典单词、公司名、产品名、用户名以及各类公开泄露数据集中的密码。
直接封堵已知的坏密码,其效果往往比单纯强迫用户必须加一个符号或数字好得多。“Password2026!” 这类密码可能满足老旧的复杂度要求,但仍然极易被猜出。
已泄露密码检测能有效避免用户选用那些攻击者早已掌握的凭据,从源头降低风险。
防止密码复用
密码复用防护能够阻止用户反复使用相同密码或只在少数几个密码之间轮换。这一点非常关键,因为一旦某个系统的密码泄露,攻击者极有可能尝试用同一套凭据去登录其他系统。
复用控制可以在同一系统内生效,也可以跨企业身份服务或在密码管理器策略中实现。对企业账号而言,用户不应把个人密码、团队共享密码或来自不相关服务的旧密码继续用于工作场景。
防止复用对特权账号、管理员账号、远程访问账号以及存有敏感信息的系统来说尤为重要。
多因素认证要求
现代密码策略应当与多因素认证紧密配合。MFA 在密码之外增加了额外的验证环节,例如身份验证器应用、硬件安全密钥、Passkey、生物识别、推送确认或一次性验证码。
MFA 能有效降低密码被窃取、钓鱼、猜出或泄露后账号立即失陷的风险,对于远程访问、管理员账号、云服务、财务系统、邮件系统和客户数据平台等场景几乎必不可少。
密码不应被当成唯一防线。MFA、条件访问、设备信任以及基于风险的登录控制,都能显著强化认证过程。
账号锁定与频率限制
账号锁定和频率限制用于抵御反复的密码猜测攻击。频率限制可在多次失败后降低尝试速率,账号锁定则在达到一定失败次数后临时禁用账号,而渐进式延迟可以在延缓攻击者的同时,降低对合法用户的拒绝服务冲击。
这些控制措施需要精心设计。如果锁定规则过于严苛,攻击者可能故意锁定大量用户账号;如果过于宽松,则攻击者可以肆无忌惮地大批量猜测密码。
平衡的策略应综合运用频率限制、持续监控、告警和可疑登录检测,而不是仅仅依赖硬性锁定。
密码管理器支持
密码管理器能帮助用户为不同账号创建并存储足够长且各自独立的密码。密码策略应当鼓励并支持密码管理器的使用:允许长密码、避免不必要的字符限制,引导用户不必再靠大脑记忆数十个不同的凭证。
密码管理器能大幅降低复用的心理动机,还可生成随机密码,其猜解难度远高于人工编造的密码。
在企业环境中,组织可选用具备共享管控、访问日志、保管库策略、应急访问和离职交接能力的商用密码管理器。
密码策略的组成要素
普通用户密码要求
普通用户密码要求界定了常规用户如何创建和维护密码。这些要求应清晰、实用且符合用户群体的实际使用习惯,既要鼓励使用足够强且唯一的密码,又要避免制造不必要的困扰。
要求通常涵盖最小长度、支持长密码、禁止复用、不允许使用常见或已泄露密码、禁止包含用户名,以及对敏感系统强制启用 MFA。同时还应明确告知用户不得共享密码,也不要把密码保存在未受保护的笔记或文档中。
一个好的用户策略应当让用户很容易看懂,也很容易借助配套工具遵守。
特权账号要求
特权账号需要更严格的保护,因为它们能够更改系统配置、访问敏感数据、创建用户、调整权限、关闭安全控制,甚至直接影响业务运行。管理员密码应更长、独一无二、受 MFA 保护,并通过严格的访问控制进行管理。
特权访问还可能要求启用会话录像、审批流程、即时访问、密码保险箱、自动轮换和持续监控。应尽量避免共享管理员密码,因为这会模糊责任归属。
密码策略应当把特权账号视为比普通用户账号风险更高的对象。
服务账号密码
服务账号供应用程序、脚本、集成任务、数据库和自动化流程使用。其密码或密钥可能被存放在配置文件、环境变量、凭据保管库或自动化平台中。如果管理不当,服务账号很容易成为隐藏在角落的安全隐患。
服务账号凭据应当是唯一的、足够长的、随机生成的,并且要安全存储,根据需要进行轮换,且仅授予完成自身任务所需的最小权限,同时不应在多个系统间复用。
组织应维护一份服务账号资产清单,确保那些早已不再使用的老旧凭据被及时清理,而不是一直留在系统里。
共享密码与团队访问
共享密码会带来责任追溯困难和安全隐患。多人共用同一密码时,很难追溯某项操作究竟由谁执行。共享密码还可能被随意复制、保存在不安全的位置,或在员工离职后仍被保留。
当确实需要团队协作访问时,应优先采用个人账号配合基于角色的权限控制。如果实在无法避免使用共享凭据,也必须将其存放在经批准的密码保管库中,并开启访问日志、限制可见性以及进行受控轮换。
共享凭据应该被视为例外情况,而不是常态化管理访问的方式。
密码存储要求
密码策略还应包含安全存储方面的要求。系统不应以明文或可逆加密形式保存密码,除非存在极特殊且受严格控制的理由。密码应使用强哈希算法,并配合唯一盐值和合适的计算成本进行保护。
存储安全至关重要,因为攻击者经常直接将目标对准密码数据库。一旦数据库被窃取且密码保存不当,攻击者可以迅速恢复出大量可用的明文密码。
存储要求应当覆盖自研应用、遗留系统、SaaS 平台、内部工具以及任何处理认证数据的系统。
密码策略的收益
降低账号失陷风险
密码策略最直接的收益就是降低账号被攻破的风险。强度更高且各不相同的密码能有效遏制密码猜测、凭据填充和复用攻击。而 MFA 则进一步缓解了密码遭遇泄露后的风险。
策略中拦截弱密码和已知泄露密码的能力,能避免用户主动选用攻击者已掌握的凭据。频率限制和持续监控也让自动化攻击收效甚微。
虽然密码策略无法彻底杜绝账号风险,但它能显著加固身份认证的第一道防线。
提升身份治理水平
密码策略为统一的身份治理提供了支撑。它为用户、管理员、服务账号、密码重置、离职交接和访问审查确立了通用规则,帮助组织将身份验证纳入更广泛的身份治理体系。
缺少统一策略时,各系统各自为政,不仅让用户感到困惑,也让安全检查变得难以落实。统一的策略有助于在组织层面标准化访问实践。
治理的改善,既提升了安全性,也让运维管理更有序。
更好地支撑合规遵从
许多组织需要证明自身已采用合理的控制措施来保护用户访问。密码策略能够提供证据,表明身份认证的相关要求已经明确定义、被有效执行、受到定期审查并持续维护。
合规审查通常会关注:密码是否得到保护,特权访问是否受到管控,登录失败尝试是否被监控,账号是否被定期核查,以及凭据泄露事件是否有应对流程。
一份文档化且被严格执行的密码策略,能让合规审计过程变得顺畅许多。
改善用户体验
设计得当的密码策略反而能提升用户体验。传统做法中频繁强制更换密码和复杂的字符要求常常让用户疲惫不堪。现代策略倾向于使用长密码短语、密码管理器、MFA 和已泄露密码拦截,实际上降低了用户的记忆负担。
这可以减少用户被迫编造难以记忆且容易输错的高复杂度密码,也能降低因忘记密码和账号锁定带来的支持请求量。
好的安全措施应当足够人性化,让使用者能够始终如一地自觉遵守。
强化事件响应能力
密码策略明确了在凭据疑似或确认泄露时需要采取的行动,从而为事件响应提供指引。策略可能要求强制重置密码、注销活跃会话、复核 MFA 设置、审计账号活动日志、审查访问记录并通知相关用户。
在真实事件处置过程中,清晰的规则能避免混乱。安全团队可以迅速确定哪些密码必须更换、哪些账号需要优先处理,以及如何验证访问已被成功切断。
有了策略,凭据相关安全事件就能以可控的流程化方式应对。
密码策略的应用场景
企业用户账号
企业用户账号是密码策略最典型的应用场景。员工每天都要通过密码访问邮件、协同办公、HR 系统、CRM、ERP、文件存储、VPN 以及各类内部应用。
密码策略确保所有员工账号都遵循可靠的认证实践,同时支持入职、岗位变动、密码重置、离职清理和定期访问审查等全生命周期管理。
对于企业账号,密码策略还需要与 MFA、单点登录(SSO)、条件访问以及身份生命周期管理配合使用,形成完整防护。
云平台与 SaaS 应用
云平台和 SaaS 应用通常承载着大量敏感业务数据,且可被多渠道、多设备访问。密码策略对保护用户账号、管理员控制台、API 访问和客户数据都相当关键。
很多 SaaS 平台允许管理员配置密码长度、MFA、会话超时、SSO、密码重置规则和账号锁定等选项。这些设置需要与组织整体的身份安全策略保持一致。
云上系统绝不应该带着默认的或薄弱的认证设置直接投入使用。
远程访问与 VPN
远程访问账号风险较高,因为用户是从组织受信网络之外发起连接。VPN、远程桌面、云管理后台和远程运维工具都应当强制执行强有力的密码策略。
远程访问几乎在所有情况下都应启用 MFA。仅靠密码保护的远程入口极为危险,攻击者一旦获得凭据就能直通内网。
对远程登录活动进行监控也极为重要,异常来源或反复失败尝试往往是攻击的前兆。
特权访问管理
特权访问管理借助密码策略保护管理员、root、数据库管理员、域管理员、网络设备管理员和应急访问账号等高权限账号。
特权密码应足够长、唯一、受 MFA 保护,并在合适的情况下存入安全凭据保险库,按需自动轮换并接受审计日志监控。这类访问应仅在确有必要时才授予,并在不再需要时立刻收回。
因为特权账号一旦失陷影响极其严重,所以针对它们的密码策略必须更为严苛。
客户门户与在线服务
客户门户与在线服务借助密码策略来保护客户账号、个人信息、支付数据、订单和订阅信息等。这种场景必须在安全与易用之间做好平衡,因为登录体验过于繁琐可能会直接导致客户流失。
面向客户的密码策略应支持长密码、密码管理器、可选的 MFA、安全的重置流程和清晰的错误提示,同时要避免那些会妨碍客户设置高安全密码的各种无效限制。
对于高风险的客户账号,还可增加基于风险的认证以及已泄露密码检测等额外防护。
数据库、应用程序与 API
数据库、内部应用和 API 往往使用密码或密钥进行认证。这些凭据可能归属用户、应用、服务账号、集成工具或自动化任务。
在这些环境中,密码策略应覆盖安全存储、轮换程序、最小权限、密钥保管库、审计日志以及无用凭据的清理。尤其需要杜绝在源代码或脚本中硬编码密码。
应用和 API 凭据经常被忽视,但它们造成安全敞口的后果可能极为严重。
设计现代密码策略
强调长度与唯一性
现代密码策略应当把重心放在长度与唯一性上。足够长且独一无二的密码,通常比仅满足表面复杂度要求的短密码更加安全。应当鼓励用户选用密码短语或依赖密码管理器。
唯一性之所以至关重要,是因为密码复用会带来巨大风险。只要有一个外部网站的密码泄露,如果它与工作账号密码相同,攻击者就很可能凭借这一套凭据撞开企业系统的大门。
策略中必须明确传达一条核心原则:每个重要账号都应使用完全不同的密码。
避免不必要的复杂规则
传统复杂度规则通常要求必须包含大写字母、小写字母、数字和符号。这些要求表面看起来提升了安全性,但用户往往会形成可预测的组合,例如把首字母大写,然后在末尾加上一个数字和符号。
更实际的做法是直接封堵弱密码和已泄露密码,允许长密码短语,并提供密码强度反馈。当用户或密码管理器生成长密码时,复杂度自然会上来。强制的字符类型组合不应被视为主要防线。
密码规则的目标应是切实降低攻击风险,而不是制造“看起来很安全”的假象。
对重要账号启用 MFA
密码策略必须跟 MFA 策略捆绑在一起。邮件、远程接入、云管理员、财务、HR、客户数据和特权账号等重要账号,应在所有可行的地方启用 MFA。
MFA 能在密码被钓鱼或泄露后继续保护账号。在风险较高的场景,身份验证器应用、硬件安全密钥或 Passkey 等强 MFA 手段,通常能提供比短信验证码更好的防护。
选择 MFA 方式时,应结合风险等级、用户接受度、设备情况和运维支持需求综合决策。
检查是否属于已泄露密码
密码筛选机制应能检验拟设置的密码是否出现在已知泄露密码列表或常见弱密码字典中。一旦发现用户想用的正是已知的弱密码,系统应拒绝并提示用户更换。
这一控制措施有助于防止用户无意中选择了攻击者手头早已掌握的密码。因为现实中许多用户倾向于使用熟悉的单词、人名、年份、键盘排列或复用原有凭据。
已泄露密码的比对过程应当安全进行,避免将用户密码明文暴露给不必要的第三方服务。
明确何时必须更改密码
现代密码策略应清晰定义强制更改密码的触发条件。只有在出现泄露证据、疑似账号劫持、用户主动请求、角色变动、设备丢失、密钥暴露或管理员重置等情况时,才应要求更改密码。
在没有证据表明存在泄露的情况下定期强制更换密码,容易让使用者产生厌倦,并可能催生更可预测的密码变化。如果被迫频繁更换,用户往往会采用简单递增的后缀。
密码更改要求应当基于实际风险,并以持续监控作为支撑。
重视密码重置安全
密码重置环节的安全性与密码创建同等重要。攻击者常将目标瞄准重置链接、客服工单、密保问题或已被侵入的关联邮箱,企图接管账号。
安全的重置流程应包括 MFA、有时限的重置链接、身份核验、向用户发送通知、主动注销活跃会话以及完整的审计日志。应避免使用基于个人信息的密保问题,因为那些答案常常可以被猜到或从公开渠道获取。
脆弱的密码重置机制可以轻易摧毁强密码策略所建立起来的所有防线。
部署实施考量
梳理所有使用密码的系统
在正式推行密码策略前,组织应先把所有涉及密码的系统梳理清楚,包括目录服务、云应用、VPN、数据库、网络设备、业务系统、服务账号、遗留系统和第三方平台。
系统梳理能揭示出哪些地方存在规则不一致的状况。一个强大的身份提供商策略,可能根本保护不了那个还在使用自己脆弱的本地密码库的老旧应用。
一份完整的资产清单是迈向统一执行的第一步。
按照用户群体区分策略
不同的用户群体可能需要不同的密码管控强度。普通员工、管理员、服务账号、外包人员、客户和应急访问账号,各自的风险等级和操作需求大不相同。
高风险账号应匹配更严格的要求。比如,管理员账号可能需要更长的密码、强制 MFA、保险库保护、会话监控以及更严谨的重置流程。
试图对所有人套用同一套策略,要么对特权用户保护不足,要么给低风险账号带来不必要的负担。
做好用户沟通准备
密码策略的变更如果解释不清,很容易让用户产生抵触情绪。组织应提前说明会有哪些变化、为什么变化很重要、如何创建强密码、怎样使用密码管理器以及从哪里可以获得帮助。
用户需要看到具体的示范。例如,可以鼓励他们使用由几个随机词组成的长密码短语,或依赖密码管理器,而不是自己绞尽脑汁想一个简短的复杂密码。
清晰的沟通既能提高接受度,又能减少服务台的压力。
先小范围测试再全面推行
密码策略的强制执行应经过充分测试再全量铺开。测试有助于发现遗留系统、移动端、系统集成、密码重置流程、单点登录连接以及服务账号潜在的问题。
如果没有摸清依赖关系就仓促上线,很可能导致应用中断或大范围用户被锁定。通过试点分组和分阶段部署可最大程度降低干扰。
在调整最小长度、MFA 要求、密码过期策略或账号锁定行为时,测试尤为必要。
部署后持续监控
策略上线后,管理员需要持续关注登录失败趋势、账号锁定情况、密码重置工单量、用户反馈、支持请求、已泄露密码告警以及可疑的登录尝试,以此判断策略是否在按预期工作。
监控结果可能会揭示出用户需要更清晰的指引、某个系统存在配置错误或者攻击者正在试探账号。密码策略也应根据这些实际运行数据不断调整优化。
密码策略绝非一次性项目,而是需要持续检视和迭代改进。
一套成功的密码策略,是技术强制、用户教育、MFA、持续监控、安全重置流程和定期审查的有机结合。
常见挑战
用户抵触情绪
用户抵触是策略推行中最常见的难题之一。如果被迫设置难以记住的密码、频繁更换,或者面对含混不清的规则,人们自然会想方设法寻找捷径。
这些捷径可能包括随手写在纸条上、重复使用旧密码、形成可预测的固定模式或将密码保存在无保护的文档中,这些反而会削弱整体安全性。
好的策略应该足够强固以降低风险,同时又要足够现实,让普通用户可以坚持执行。
密码复用
密码复用仍是一个顽疾。用户可能把同一个密码同时用在公司系统、个人邮箱、购物网站、社交媒体和云服务上。只要其中任何一个站点发生泄露,攻击者就会拿这套凭据四处试探。
密码管理器和用户教育是减少复用的有效手段,同时辅以已泄露密码检测和单点登录等机制。
防复用是降低凭据填充风险绕不开的一环。
遗留系统限制
遗留系统可能根本不支持长密码、现代哈希算法、MFA、SSO、特殊字符、安全重置流程或完整的审计日志。这些短板让策略落地变得困难重重。
组织需要识别这些限制,然后决定是升级、隔离、替换还是增加补偿性控制。比如,对于无法直接施加密码策略的遗留系统,可以通过 VPN、网段隔离或身份代理来进行额外保护。
所有遗留系统的例外情况都应详细记录,并定期复核。
共享密码与硬编码密码
共享密码和硬编码密码是运维中常见的风险。共享密码可能被团队、供应商、应用脚本或网络设备共同使用。硬编码密码则可能直接写在源代码、配置文件和自动化作业里。
这类凭据极难轮换,而且很容易被遗忘,甚至在相关人员离职或系统下线后依然长期有效。
组织应致力于将共享和硬编码的密钥迁移至受控的凭据保管库,并尽可能用个人化身份替代共享访问。
过于激进的锁定规则
账号锁定规则有助于阻断猜测攻击,但过度激进的设置可能带来运营事故。攻击者可能故意触发大规模锁定,使合法用户无法正常登录。
更好的做法是结合渐进式延迟、基于风险的检测、告警、MFA 以及可疑登录监控。锁定策略应谨慎使用,并根据实际风险状况灵活调整。
根本目标是在延缓攻击者的同时,确保正常业务不受到影响。
运维与持续改进建议
定期复查策略
密码策略需要定期复查,因为技术、威胁形态、监管要求和用户行为都在不断变化。几年前制定的策略可能仍抱着过时的假设不放。
复查内容应涵盖密码长度、MFA 覆盖范围、已泄露密码阻拦、密码重置流程、服务账号、特权访问以及用户反馈。
定期复查能让策略始终保持贴近现实,跟得上当前的风险面貌。
审计与密码相关的事件
所有与密码相关的事件都应记录并纳入审计。关键事件包括登录失败、密码更改、密码重置、账号锁定、MFA 验证失败、特权账号登录、密码策略配置变更以及新建管理员账号。
审计日志既能帮助发现可疑行为,也能为事件调查提供依据,更是合规审计的重要凭证。
日志本身应防止被未授权篡改,并按策略要求进行保留。
及时清理闲置账号
闲置账号是不必要的风险敞口。已离职的员工、过期外包、测试账号、被废弃的服务账号和不再活跃的管理员账号,都应及时禁用或删除。
再强大的密码策略也保护不了一个无人认领、无人监视的账号。攻击者经常寻找这些被遗忘的账号,因为它们可能挂着弱密码或残留着过时权限。
账号生命周期管理必须与密码策略协同联动。
为用户提供实用性的安全培训
用户培训要聚焦实际行为。用户应当知道如何创建强密码短语、怎样使用密码管理器、杜绝密码复用、识别钓鱼攻击、保护 MFA 提示以及发现可疑情况时如何报告。
培训要避免使用“尽量设置复杂一点”这样含糊的指引,而应给出具体示例,同时解释攻击者的常见手法。
用户理解越深,密码策略在真实环境中的落实效果就越好。
升级技术控制手段
密码策略应当获得现代化技术手段的支撑,包括单点登录、MFA、密码管理器集成、已泄露密码检测、安全哈希、身份威胁检测、条件访问和特权访问管理等。
技术控制能够降低对用户记忆和人工自律的依赖,使策略执行在不同系统之间更加一致。
随着系统逐步现代化,密码策略也要同步升级以充分利用这些更强的能力。
密码策略与相关安全概念的区别
密码策略与 MFA 策略
密码策略定义了密码的创建、使用、修改和保护方式;MFA 策略则界定了用户在什么场景下、以何种方式提供额外的认证因子。两者相关但并非同一回事。
密码策略着力降低弱凭据本身的风险,MFA 策略则重点缓解密码被窃取后即可直接访问账号的风险。两者组合在一起,才能构建更强大的认证安全体系。
重要的账号通常应同时受强密码规则和 MFA 的双重保护。
密码策略与访问控制策略
密码策略侧重于身份认证凭据;访问控制策略则聚焦用户通过认证后能做什么。一个用户完全可能拥有强密码,却被分配了过高的权限。
两种策略缺一不可。密码策略负责验证用户身份,访问控制策略则根据角色和业务需求限制其操作范围。
高强度认证需要与最小权限原则紧密结合。
密码策略与 Passkey 战略
Passkey 是一种新兴认证方式,旨在降低对传统密码的依赖。Passkey 战略最终可能会在某些系统中降低密码策略的重要性,但眼下大量组织仍运行着严重依赖密码的系统。
在过渡阶段,密码策略依然不可或缺。组织可以在支持 Passkey 的应用上使用无密码方式登录,同时对遗留系统、服务账号、备用访问以及还不支持无密码登录的应用继续保持密码控制。
密码策略与无密码战略可以在现代化转型过程中并行不悖。
密码策略与特权访问管理
特权访问管理(PAM)专门管控高风险账号和管理员访问,通常涵盖凭据保险库、会话监控、即时访问、审批流程和自动凭据轮换。
密码策略适用范围更广,覆盖多种账号类型。PAM 则对一旦失陷可能造成最大损失的账号施加更严格的控制。
组织应使用 PAM 保护特权账号,同时用更宽泛的密码策略管理整体身份安全。
总结
密码策略是一套关于密码如何创建、使用、存储、修改、重置、监控和保护的规则体系。它帮助组织减少弱密码现象,避免凭据复用,防范密码猜测攻击,并在各系统间建立一致的认证实践。
现代密码策略应强调密码长度、唯一性、已泄露密码拦截、安全密码存储、MFA、密码管理器支持、频率限制、安全重置流程、特权账号保护、服务账号管控和审计日志,同时摒弃那些徒增用户沮丧而无法真正提升安全性的过时规则。
密码策略广泛应用于企业系统、云平台、客户门户、VPN、远程访问服务、特权访问管理、数据库、应用程序和 API。当它与用户教育、技术强制执行、持续监控和定期审查相结合时,就成为身份安全和访问治理的重要基石。
常见问题
简单来说,密码策略是什么?
密码策略就是一套规则,它规定了密码应当如何安全地创建、保护、修改、存储和监控。
它帮助组织减少弱密码,防止账号失陷,并将认证管理变得更为规范统一。
密码策略应当包含哪些内容?
密码策略应包含最小长度、长密码支持、已泄露密码拦截、密码复用限制、MFA 要求、账号锁定或频率限制、安全重置规则、密码存储规范以及审计日志。
同时,还应针对普通用户、管理员、服务账号和高风险系统分别界定不同的控制强度。
密码需要定期更换吗?
密码应在出现泄露证据、疑似账号劫持、用户主动要求、设备丢失、凭据暴露或管理员发起重置时更换。
而没有证据表明存在泄露就强制周期性更换,往往只会让用户走向可预测的密码模式,实际保护作用有限。
密码长度为什么那么重要?
相比短密码,足够长的密码更难被暴力猜测或破解,特别是当它们足够独特且不基于常见词汇或固定模式时。
长密码短语和由密码管理器生成的随机长密码,可以同时实现更高的安全性和更好的使用体验。
只要有强密码,就可以不用 MFA 了吗?
强密码非常重要,但对于高风险账号来说还远远不够。密码仍然可能通过钓鱼、恶意软件、数据泄露或社交工程等方式被窃取。
强烈建议对远程访问、管理员账号、邮件系统、云服务、财务系统和敏感数据平台等关键场景额外启用 MFA,增加一层防护。
怎样减少组织内的密码复用现象?
可以通过鼓励使用密码管理器、封堵已知泄露密码、在适当场景采用单点登录、开展用户培训,以及在内部系统里禁止重复使用近期密码等手段来减少复用。
每一个重要账号都应当使用独一无二的密码。
