每個攻擊行動都可以藉由強性密碼大幅地減緩,甚至成功地阻擋。因此,電腦使用者應該儘可能在他們的電腦帳戶上使用強性密碼。使用以 Microsoft® Windows NT® Windows 版本的電腦,皆支援強性密碼,這些版本包括 Windows NT 4.0、Windows 2000、Windows XP 和 Windows Server™ 2003。Windows 中,一個強性密碼即為內含以下五組「字元類別表格」中,至少三組字元的密碼。
指出密碼最短限度雖然執行 Windows 2000、Windows XP 及 Windows Server 2003 的電腦支援最多 128 字元的密碼,此設定只能介於 0 到 14 字元。如果設定到 0,則使用者允許擁有空白密碼;這是永遠不會使用的值。
設定到 8 個字元。
密碼必須符合複雜性需求
指出是否強制執行密碼複雜性。
啟用設定時,使用者密碼會有下列需求:
此密碼至少六個字元長。
密碼字元須包含下列五個類別中的三項:英文大寫字元 (A - Z);英文小寫字元 (a - z);基本阿拉伯數字 (0 - 9);非字母字元 (例如:!、$、# 或 %);Unicode 字元。
密碼不可包含三個以上使用者帳戶名稱的字元。如果帳戶名稱少於三個字元,則此項檢查不會執行,否則密碼拒絕率將過高。檢查使用者全名時,部分字元會視為將名稱分成個別語彙基元的分隔符號:逗號、句號、破折號/連字號、底線符號、空格、井字號和標籤。密碼中佔三個字元以上的任何分隔符號都會被搜尋,如果發現分隔符號,密碼將無法變更。例如,「Erin M. Hagens」會被分成三個分隔符號:「Erin」、「M」及「Hagens」。第二個分隔符號因為只有一個字元長而遭到忽略。因此,此使用者密碼中的任何位置,都不能包含「erin」或「hagens」的子字串。所有的檢查不區分大小寫。
啟用此設定。
#### 編訂組織的密碼原則文件
接下來,您要決定組織的密碼原則文件的編訂形式。
最低限度,必須寫下將會在組織網路中的電腦上,強制執行哪些設定。
部分組織會以正式的原則聲明來記錄原則。如果您認為組織適用這個層次的記錄形式,您可能會想要參考本文件稍後<相關資訊>中,關於範例原則的連結。
部分組織對於記載這一類的公司原則可能會有調整需求。如果您確信組織有調整需求,那麼在您實行並傳送給使用者之前,應該交由組織的法律顧問進行原則審核。
#### 傳送密碼原則給使用者
所有重要的原則變更,都必須明確地傳送給在您組織中工作的人員。在變更或實行密碼原則時,向受影響的人員清楚解釋您執行哪些動作及原因,是非常重要的。
##### 供您使用的密碼原則範例
您必須複製下列文字,並發佈給與您一起工作的人員。雖然它已準備好供您使用,但您可以修改潤飾其中的字詞,讓它更符合您的需要及特定密碼原則需求。
您會注意到這個範例文字,既沒有討論也沒有建議使用 ALT 組合鍵;因為對許多使用者來說,使用組合鍵並沒有想像中容易。ALT 組合鍵建議由擁有強大功能或機密性帳戶,且熟悉技術的使用者來使用,例如系統管理員。
致組織成員:
弱性密碼或空白密碼,是攻擊者用來入侵電腦及組織網路的最佳途徑。經年累月一成不變的密碼,或不斷重複使用的密碼,也很容易遭到攻擊者破解。
為了提升網路帳戶的防護,請各位同仁在存取公司電腦系統時,務必使用強性密碼。您需要定期變更密碼,而且必須使用與前一個密碼完全不同的密碼。
強性密碼的最小長度為 8 個字元,並且使用下列五種類別中的三種字元組成:
1. 小寫字母
2. 大寫字母
3. 數字 (例如 1、2、3)
4. 符號 (例如 @、=、- 等等)
5. Unicode 字元
您的密碼也不能包含與使用者帳戶名稱,其中三個或以上相連的相同字元。您需要每隔 42 天變更一次密碼,而且不可以重複使用舊密碼。
在您變更密碼之後,會自動進行密碼複雜性驗證,而且會與前一個密碼進行比對。雖然這些程序表面上看來有些繁雜,致使各位想把密碼寫下來貼到桌上、電腦,或任何其他方便拿取的位置。然而,當您做了這樣的動作之後,等於是將電腦及整個組織曝露在巨大的風險中,因為任何人都可使用您的身份認證,開啟電腦然後登入網路。因此,請務必將密碼牢記在心。或者,建立容易記憶的密碼。
下列是關於密碼安全性的詳細背景資訊,以及如何建立好記的強性密碼的具體建議。
##### 使用通關片語
比起「密碼」,「片語」更容易讓人聯想到「通關片語」一詞。如果您的電腦是執行 Windows NT 4.0 或早期版本、Windows 2000、Windows XP 及 Windows Server 2003,這些作業系統支援 15 個以上字元的密碼,包括空格。因此,「You can try to break this until the cows come home!」是一個絕對有效的通關片語,即使攻擊者使用最佳的密碼破解工具,也難以破解。如果您的電腦執行的是上述的作業系統,請嘗試使用包括混合大寫字母、小寫字母、數字及符號,長度愈長愈好的通關片語。
注意,您不可以實際使用本文件中的範例密碼,雖然前面曾說「You can try to break this until the cows come home」這個密碼的長度已足夠,但攻擊者可能會將它,以及文件中的其他範例密碼加入到攻擊工具中。這些僅供作範例,您應該建立自己的唯一密碼。
##### 其他密碼密祕訣
下列提供建立密碼、記憶密碼和密碼片語的祕訣,以及可行、不可行的資訊。
1. **使用一個以上的文字**
不要只使用親朋好友的名字,例如 Allison,而要加入一些別人不知道的部分,例如 AllisonsBear 或 AlliesBear。
2. **使用符號取代字元**
許多人傾向將必要的符號及數字放在文字結尾,例如 Allison1234。很不幸地,這種密碼很容易破解。Allison 就列在包含常見名稱的字典中;一旦破解了這個名稱,攻擊者就只需費心四個更容易猜測的字元。因此,請以容易記憶的符號,取代文字中一或多個字母。許多人對於哪些文字類似哪些符號和數字,都有自己的獨特看法。例如,@ 取代 A、! 取代 l、零 (0) 取代 O、$ 取代 S、3 取代 E。使用 @llis0nbe@r、A!!isonB3ar、A//i$onBear 這些替代密碼,您都可以一眼即知,但攻擊者卻難以猜測或破解。看著鍵盤上的符號,然後想著第一個引起您注意的字元,它可能不會是別人第一個注意到的字元,但您卻會有深刻記憶。請從現在起使用這些符號取代部分密碼字元。
3. **選擇使用您印象深刻的人或事件**
如果想要記住每隔幾個月就必須變更的強性密碼,可以嘗試選擇即將來訪的人仕或公開事件。使用這個方法,每當輸入密碼時,就可以提醒您生活中即將到來的快樂事件,或再次想起您欣賞或愛慕的對象。如果用作密碼的人、事、物是有趣或惹人喜愛的,那麼您一定不會想要忘記密碼。您一定要選擇獨特的密碼。請確認密碼包含兩個以上文字的片語,並在其中插入符號。例如:J0hn$Gr@du@tion。
4. **使用文字語音**
一般來說,攻擊者使用的密碼字典會搜尋內嵌在您密碼中的文字。如前所述,只要使用內嵌符號分離這些文字,您就可以安心使用這些文字。另一個擊敗攻擊者的方法,是避免使用文字的正確拼法,或使用您可以記憶的趣味語音。例如,「Run for the hills」可以是「R0n4dHiLLs!」或「R0n 4 d Hills!」。如果您的經理的大名碰巧是 Ron,每天早上您都可以愉快地輸入密碼。如果您的名字拼法不易聯想,那麼在與攻擊的對戰中您已取得致勝先機。
5. **不要懼怕使用長密碼**
如果您可以將長密碼當作完整片語來記憶,就請使用長密碼。因為愈長的密碼愈難破解。雖然使用長密碼,如果這個密碼是輕易可記住的,即使您不是最好的打字員,您的系統也可能會遇到一些小問題。
6. **使用片語的第一個字母**
如果要建立好記的強性密碼,使用適當的開頭大寫及分句,有助於您記憶密碼。例如:「My daughter Kay goes to the International School.」接著,擷取句中每個字的第一個字母,作為在句中使用大寫字母的依據。在這個範例中,它的結果是「MdKgttIS」。最後,使用一些非英數字元取代密碼中的部分字母。您可以使用 @ 取代 a,或使用 ! 取代 L。經過取代之後,上述範例密碼將會是 MdKgtt!S 這個難以破解的密碼,只要您回想組成密碼的句子,對您來說記憶這樣的密碼並不難。
###### 可行:
- 組合字母、符號及數字,對您來說容易記憶,其他人則難以猜測。
- 建立可頌讀成句的密碼 (不是文字也可以),方便記憶,不必寫在筆記本或其他地方。
- 嘗試使用您座右銘的初始字母,但記得要包含數字或特殊字元。
- 擷取兩件相似的事物,然後在其中插入數字或特殊字元。或是變更拼字方法以包含特殊字元。使用這個方法,您會得到一個完全不相似的結果 (這樣會組成效果卓越的密碼,因為您可以容易記憶,其他人則難以破解)。下列是一些範例:
Phone + 4 + you = Phone4you 或 Fone4y0u
cat + \* + Mouse = cat\*Mouse 或 cat\*Mou$e
attack + 3 + book = attack3booK 或 @tack3booK
###### 不可行:
- 請勿使用個人資訊,例如使用者 ID 衍生出來的文數字、家庭成員姓名、暱稱、車號、執照證號、電話號碼、寵物名稱、出生年月日、身份證字號、地址或興趣等。
- 請勿使用以任何語系向前拼或倒著拼的任何文字。
- 請勿在密碼中包含當月月份名稱,例如,不可以在 5 月使用 Mayday。
- 請勿建立與前一個密碼相似的新密碼。
#### 在您的組織中實行密碼原則
現在您已指定、訂定聲明,並將新的密碼原則傳送出去,表示在網路上實行這個密碼原則的時機已成熟。如需關於強制執行密碼使用的資訊,請參閱《Security Guidance Kit (英文)》中的<Enforcing Strong Password Usage Throughout Your Organization>。
[](#mainsection)[回到頁首](#mainsection)
### 相關資訊
如需關於開發密碼原則的更多資訊,請參閱下列:
- SANS (SysAdmin, Audit, Network, Security) 網站上的《[Password Policy (英文)](https://go.microsoft.com/fwlink/?linkid=22205)》,網址是 [https://go.microsoft.com/fwlink/?LinkId=22205](https://go.microsoft.com/fwlink/?linkid=22205)。SANS 提供建立正式化的公司安全性原則及範例原則的建議。
- 美國國家標準暨技術機構 (National Institute of Standards and Technology,NIST) 網站上的《[Sample Generic Policy and High Level Procedures for Passwords and Access Forms (英文)](https://go.microsoft.com/fwlink/?linkid=22206)》,網址是 [https://go.microsoft.com/fwlink/?LinkId=22206](https://go.microsoft.com/fwlink/?linkid=22206)。NIST 擁有的範例,是許多政府機關在開發屬於自己的原則時的依據基礎。
如需關於密碼原則的更多資訊,請參閱下列連結:
- Microsoft TechNet 網站上的《[Account Passwords and Policies (英文)](https://go.microsoft.com/fwlink/?linkid=22208)》,網址是 [https://go.microsoft.com/fwlink/?LinkId=22208](https://go.microsoft.com/fwlink/?linkid=22208)。
[](#mainsection)[回到頁首](#mainsection)