基礎的密碼規定原則為資安防禦最重要的一環
通常常件的原則如下:
• 密碼必須要至少 8(含)個字元以上
Contains at least 8 characters
• 密碼設定建議需符合複雜性原則
Suggest to meet complexity requirements
– 即以下 3 種(含)以上之組合
Contains characters from 3 of the following 4 categories
1. 英語大寫字母(A - Z)/ Uppercase Alphabet Characters(A - Z)
2. 英語小寫字母(a - z)/ Lowercase Alphabet Characters(a - z)
3. 數字(0 - 9)/ Arabic Numerals(0 - 9)
4. 符號(@ ! $ # , %,..)/ Non-Alphanumeric Characters, such as, @ ! $ # , %
– 密碼不包含帳號或全名中的任一部分
Is not based on your account name
• 密碼要求 90 天更換一次,且不能與前 3 次相同
Change password every 90 days, and the new password must be different from your previous 3 passwords
• 密碼在同一天內不可變更 2 次(含)以上
Can not change password 2 times above one day
• 密碼在 15 分鐘內連續輸錯 5 次,帳號會被鎖定
Account will be locked, if type the wrong password 5 times between 15 minutes
無論是在系統撰寫或是密碼規則訂定時,這些是很好的準則(Baseline)。