首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Coding
V2EX  ›  程序员

公司密码要求 12 位以上,每次修改不能用历史密码

  •  
  •   holydancer · 42 天前 · 10257 次点击
    这是一个创建于 42 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我已经快记不住我的新密码了!!
    156 回复  |  直到 2019-11-03 21:25:00 +08:00
    1  2  
        101
    ihainan   42 天前
    公司要求 15 位以上,但同时购买了 1Password 企业版…
        102
    laycher   42 天前
    很正常,我觉得没有什么记不住的。每天都要输入密码,你肯定记得住。
        103
    xmh51   42 天前
    没事呀,ab 两个密码 a 换 b b 换 a
        104
    hui312   42 天前
    不能保存密码吗
        105
    duanran   42 天前
    写在便利贴贴屏幕上,入职到现在已经换了两张了。。。。公司要求 12 位,大小写数字特殊字符至少使用三种。
        106
    WhatIf   42 天前
    @duanran 这样不被开除?
        107
    duanran   42 天前
    @WhatIf 科研机构上班,不涉及知识产权内容,就我个人所在的单位大家几乎都没有什么保密意识。。。。。而且每次钓鱼邮件还会有很多人上钩,IT 就会发邮件要点开链接的同事上报连 teamviewer 清病毒 /间谍软件
        108
    Stain5   42 天前
    @janxin #6 太折腾员工了,有这种需求的应该采购密码学设备
        109
    xy90321   42 天前 via iPhone
    年月按照格式不同就可以占到 4-6 位,剩下的固定词组自由发挥下不就好了…
        110
    ksedz   42 天前   ♥ 2
    我密码里有数字 000,下次换成 111,接着 222,接着 333,如果 999 了我还在这,从 0000 重新来过!
        111
    efsg   42 天前 via Android
    Bitwarden 自动生成并且记录
        112
    lfcyme   42 天前
    一个月换一次 233333
        113
    tyx1703   42 天前 via iPad
    @Har01d 曾经我也是网站名称+年份作为密码。但是太多之后,年份乱了,网站名称规律也乱了。不常用网站每次输密码都得尝试各种组合
        114
    Maltazard   42 天前
    然后每次都得写小纸条贴在手边,更不安全。
        115
    likuku   41 天前
    1password 我都用 26 位密码
        116
    drawstar   41 天前   ♥ 4
    每次用一句诗的首字母啊
    glgjssyqyhfbqz
        117
    realpg   41 天前
    @tyx1703 #48
    这不是给网站注册用的
    这是给公司内部应付密码轮转机制用的

    好在我公司用密码的场合极少,大部分用动态口令和私钥和证书
        118
    295464512   41 天前
    @ksedz 哈哈哈,是个狠人
        119
    no1xsyzy   41 天前
    给自己定个周期性目标,英文或者拼音 [email protected]
    既记住了密码,又记住了目标
        120
    aa543187001   41 天前
    就在原密码上加 1 啊
        121
    happyz90   41 天前 via Android
    xxxxxxxxxx01
    xxxxxxxxxx02
    ......
        122
    oneisall8955   41 天前 via Android
    密码管理器那么多~
        123
    ysicing   41 天前
    @drawstar 我也一样。
        124
    12tall   41 天前
        125
    x7395759   41 天前
    +1s, +2s, +3s, +4s, +5s
    又续命有改了密码,多好。
        126
    no1xsyzy   41 天前
    @tyhunter 短期目标,每次输入还能提醒你这个目标
    我曾经的密码包括
    [email protected]@Books
    [email protected]@F*[email protected]
    [email protected]@Patient
    [email protected]@[email protected]
    当然,这个只能用于主密码,比如操作系统密码,其他还是 lastpass
        127
    itbeihe   41 天前
    [email protected]#$%^&*()
    轮着一波~ ~
        128
    MonoLogueChi   41 天前 via Android
    以前公司都直接把密码贴在桌子或者电脑屏幕上
        129
    wooyuntest   41 天前
    密码这么设置,就不怕内网某台机器不巧因为钓鱼被弹了个 shell 出去,然后内网就被日穿了吗?
        130
    no1xsyzy   41 天前   ♥ 1
    https://pages.nist.gov/800-63-3/sp800-63b.html#-511-memorized-secrets
    NIST 给出的记忆秘密认证法(即密码( password passphrase PIN )登录)指导方案。列举重要几条如下:
    (必须=SHALL,应该=SHOULD,可以=MAY,不得=SHALL NOT,不应=SHOULD NOT )

    对于自选密码:
    **必须**至少 8 字符
    **应该**能支持至少 64 字符
    **应该**支持 Unicode 密码,每个码位均**必须**视为一个字符,**应当**进行归一化
    **可以**将连续空格替换为一个空格,前提是替换后的结果仍然有 8 位以上

    对于机选密码( CSP ):
    **必须**至少 6 字符
    **必须**采用被核准的生成器

    对于任何密码:
    **不得**允许存储密码提醒
    生成/改变密码时,**必须**先验证该密码是否在一个(常用密码)列表中。该列表**可以**包括但不限于:从前泄漏过的密码、字典词、重复的或者有规律的字符、上下文有关字符。(根据译者的理解,是密码的全文而非密码内存在此种字符,简单地说就是系统自备一个暴破字典)如果密码在列表内,那么**必须**告知用户需要使用不同的密码,并告知被回绝的原因,并要求一个新密码。
    **应该**提供设置强密码的指示,比如密码强度量计
    **必须**提供一个限流措施,限制错误登录的次数
    **不应**包含任何其他限制。
    **不应**任意要求修改密码(包括定期),但是,**必须**在有证据表明该密码已泄漏时要求修改密码。
    **应当**允许 “粘贴” 密码,以促进密码管理器的使用,这很常见并在多数情况下用户会更可能使用更强的密码。
        131
    no1xsyzy   41 天前
    上述 “**不应**包含任何其他限制。” 后面用括号直接举例了 “要求密码包括不同字符类型”。
    除非你有个很好的理由,否则不要这么做
        132
    gransh   41 天前 via iPhone
    [email protected]
    1902
    1903
    一个月改一次
        133
    romisanic   41 天前
    前边相同 后边用三个数字的 shift 到期一次换一次
        134
    bclerdx   41 天前 via Android
    @tyhunter 有啊,我们公司的域控策略是 30 秒自动锁屏。
        135
    whypool   41 天前
    原密码+1 接着续
    已经从 00 续到 40 多了
        136
    nuko   41 天前
    公司电脑用加密软件·····不用密码·····
        137
    tyhunter   41 天前
    @no1xsyzy 所以我说这种域控政策强制要求改密码的公司 IT 就是变态。。。
        138
    bclerdx   41 天前
    @tyhunter 我们公司的域控策略是 30 秒自动锁屏。是不是更变态!公司的同事们全体向主管提出了抗议和愤慨,主管居然说,你们要表现好才可以把锁屏时间延长,你说变态不变态,尼玛的,表现好与不好和把锁屏时间延长有毛线关系啊?艹的咧!
        139
    bclerdx   41 天前
    @tyhunter 而主管自己的电脑却不受 30 秒自动锁屏限制。我日了狗了。
        140
    yinjy   41 天前
    想个简单的,然后 md5
        141
    danmu17   41 天前
    哈哈,一个因为不够专业而被制定出来的脑残安全标准在被废弃了之后果然还被很多脑残企业使用。
    这种脑残标准应用的结果就是到处都是类似 qazwsxEDC001 这样的弱口令。
        142
    iXInbo   41 天前
    姓名缩写+生日 + 编号,每次改+1
        143
    polymerdg   41 天前
    固定密碼+當前年月
    很好記啊
        144
    no1xsyzy   41 天前
    @tyhunter 其实 NIST 也是这一版才改正了
    那个包含 “定期修改” 和 “类型混合” 两个错误的版本传了很久了,我看也会继续存在一百年
    相对来说,各网站还是先搞定数据库存明文密码或者单 md5 的问题比较好……
    常见简单密码用 sqlmap 的时候会自动被反 md5 的……
        145
    cjq8z   41 天前 via Android
    简单解决方案:公司名字+工号+加数字
    下次要修改密码,只改末尾数字,从 0~无穷,公司倒闭还是不会重复的。
        146
    yanqiyu   41 天前
    截取特定长度(取 hash(上一个密码+特定字符串)取 hash)
        147
    HangoX   41 天前
    密码加年月不就好了。。我在公司就是这样干的
        148
    WildCat   41 天前
    两句古诗,音序
        150
    mondeo   41 天前 via Android
    pwgen,至于怎么记就不知道了
        151
    zjcpyc   41 天前
    我用了 qq 邮箱,哈哈
        152
    sbrdfewxf   41 天前
    我司新规,密码要求大写,小写,数字,特殊符号必须同时有,8 位起步,短信或者 OTP 在线验证。而且 30 天一换,过期不换锁账号,需要分公司打报告给集团才能解开。。。。唯一优点就是,一号走遍天下。哈哈
        153
    Kmzl   41 天前 via Android
    我公司也要每季度改密码,于是只能把自己的 lastpass 装公司电脑
        154
    backfrw   41 天前
    0001->0002->……000N
        155
    ZackB0T   40 天前 via Android
    买本诗词(或者两本带个备份)。然后就是一般密码本操作。拼音按缩写一次一句,用过划掉
        156
    pangpangtian   40 天前
    买本唐诗三百首 还能学习古诗。。。。
    1  2  
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1078 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 31ms · UTC 23:29 · PVG 07:29 · LAX 15:29 · JFK 18:29
    ♥ Do have faith in what you're doing.