服务器密码策略模版

*** IT

公司名称****** 2012-05-23 版本：V1.0

密码安全

1 为什么要执行密码安全

保护服务器及网络设备，就要从保护其口令的安全做起。下面就来谈谈服务器具有怎样的一些口令安全策略，才能提高服务器的安全性。

2012-05-24

目录

为什么要执行密码安全 ............................................... 1 目录 ................................................................................ 2 密码策略规范内容 ........................................................ 3 密码具体内容 ................................................................ 4 附属表单 ........................................................................ 5

密码安全

2

2012-05-24

密码安全

3 密码策略规范内容

策略一：口令的期限

一般为三个月为密码更换周期

策略二：口令必须符合复杂性规则

现在由不少银行，为了用户账户的安全，进行了一些密码的复杂性认证。如诸如888888等形式的密码，已经不在被接受。从

密码学上来说，这种形式的密码是非常危险的。因为他们可以通过一些密码破解工具，如密码电子字典等等，非常轻松的进行破解。

故为了提高口令本身的安全性，最简单的就是提高密码的复杂程度。在服务器中，可以通过口令复杂性规则，强制用户采用一些安全级别比较高的口令。具体的来说，可以进行如下的复杂性规则设定。 1、不能以纯数字或者纯字符作为密码

若黑客想破解一个服务器的帐号，其所用的时间直接跟密码的组成相关。如现在由一个八位数字的密码，一个是纯数字组成的，另外一个是数字与字符的结合。如分别为82372182与32dwl98s。这两个密码看起来差不多，可是对与密码破解工具来说，就相差很大。前面这个纯数字的密码，通过一些先进的密码破解工具，可能只需要24个小时就可以破解；可是，对于后面这个字母与数字结合的密码，则其破解就需要2400个小时，甚至更多。其破解难度比原先那个起码增加了100倍。

可见，字符与数字结合的口令，其安全程度是相当高的。为此，我们可以在服务器上进行设置，让其不接受纯数字或者纯字符的口令设置，应使用字母和数字结合的方式

2、口令不能与用户名相同

其实，我们都知道，很多时候服务器被攻破都是因为管理不当所造成的。而用户名与口令相同，则是服务器最不安全的因素之一。

很多用户，包括网络管理员，为了容易记忆与管理，他们喜欢把密码跟用户名设置为一样。这虽然方便了使用，但是，很明显这是一个非常不安全的操作。根据密码攻击字典的设计思路，其首先会检查服务器其帐户的密码是否为空；若不为空，则其会尝试利用用户名相同的口令来进行破解。若以上两个再不行的话，则其再尝试其他可能的密码构成。

2012-05-24

密码安全

4

所以，在黑客眼中，若口令跟用户名相同，则相当于没有设置口令。为此，在服务器的口令安全策略中，也要把禁止口令与密码一致这个原则强制的进行实现。

3、密码长度的要求

虽然说口令的安全跟密码的长度不成正比，但是，一般来说，口令长总比短好。如对于随机密码来说，破解7位的口令要比破解5位的口令难度增加几十倍，虽然说，其口令长度只是增加了两位。所以，在服务器的口令策略中，强制用户的口令必须达到8位-32位之间。

4、密码易用性为原则

什么才算的上是好密码呢？密码要保证其服务的安全级别，关键还要自己

能记住的才是好密码，

密码具体内容

根据密码时间周期，需要四套密码，分别在三个月档期的最后一天下班后更改，依据以上规则，下面来介绍IT密码的具体内容，例如：根据***2012核心理念（理念）内容设计策略例如******

套数 第一套 第二套 第三套 第四套 备用 备用 内容 ****** ****** ****** ****** ****** ****** 更换日期

2012-05-24

密码安全

5

附属表单

序号 密钥套数 执行人签名 更改日期 备注

2012-05-24