องค์กรขนาดใหญ่ของฉัน (ผู้ใช้มากกว่า 15,000 คน) ใช้งาน "การเปลี่ยนรหัสผ่าน" ทุก ๆ 120 วันในฤดูใบไม้ร่วงปี 2009 มันเป็นเรื่องปวดหัวด้านไอทีครั้งใหญ่และสิ้นเปลืองทรัพยากรสนับสนุน ทุกครั้งที่หน้าต่าง 120 วันกลิ้งไปรอบ ๆ เรามีผู้ใช้หลายพันคนถูกบังคับให้เปลี่ยนรหัสผ่าน .... ซึ่งหลายคนทำไม่ถูกต้องและล็อคบัญชีของพวกเขา .... หรือลืมในวันถัดไป ฝ่ายให้ความช่วยเหลือของเราได้รับการโทรด้วยรหัสผ่านแม้ว่าเราจะพยายามให้บริการด้วยตนเองเท่าที่จะทำได้
หากคุณต้องการให้ผู้ใช้ / ลูกค้าของคุณเกลียดคุณ .... และพนักงานไอทีระดับแนวหน้าของคุณที่จะเผาไหม้คุณในทุกโอกาสที่พวกเขาได้รับ ... ใช้การเปลี่ยนแปลงรหัสผ่าน
นโยบายการเปลี่ยนรหัสผ่านเป็นช่องทำเครื่องหมายในตัวจัดการไอทีบางส่วนวิธีการจองที่ไหนสักแห่ง ... และมันถูกเขียนเมื่อ 15 ปีที่แล้ว ไม่มีใครในสนามเพลาะที่ใช้งานจริงหรือสนับสนุนนโยบายจะบอกคุณว่ามันเป็นความคิดที่ดี
ฉันทะเลาะกันที่นี่เพื่อ "ส่งผ่านวลี" แทนที่จะเป็นรหัสผ่าน .... มีไขมันมากมายที่ทำ ... แสงนั้นในตอนท้ายของอุโมงค์เป็นรถไฟที่กำลังจะมาถึง :)
วลีรหัสผ่านเป็นสตริงที่ยาวเกินคาดเดาได้ซึ่งง่ายต่อการจดจำเช่น "MyCatIsFromSpainAndICallHimElGato" หรืออาจจะเป็นบรรทัดจากบทกวีหรือเพลง
ถ้าคุณต้องการทำให้มันยากจริงๆที่จะถอดรหัส .... ยุ่งกับเคสเพิ่มเครื่องหมายวรรคตอนเปลี่ยนบางอย่างเป็น ells, ohs เป็นศูนย์, เป็น @, ฯลฯ ... แต่จำไว้ได้ ... . นั่นคือกุญแจสำคัญ มีหลายวิธีในการเลือกพวกเขาเพื่อให้พวกเขาไหลอย่างง่ายดายจากนิ้วมือของคุณไปยังคีย์บอร์ด .... ดังนั้นคุณจะไม่กระดอนไปมาระหว่างมือหรือด้วย SHIFTs และเครื่องหมายวรรคตอนแปลก ๆ
ดังนั้น...
- ใช้ "วลีรหัสผ่าน" แบบยาว
- ทดสอบภายในเพื่อความแข็งแรง
- ปรับใช้ "การลงชื่อเพียงครั้งเดียว" ในโครงสร้างพื้นฐานทั้งหมดของคุณเพื่อให้ลูกค้าใช้เพียงครั้งเดียวหรือสองครั้งต่อวัน
- อย่าบังคับให้เปลี่ยน
- และให้การศึกษาอบรมสั่งสอนการใช้อย่างถูกต้อง
ด้าน
แก้ไข: 8/24/2011 XKCDเห็นด้วยและบอกว่าดีกว่าที่ฉันทำ