问我如何在一个目前不关心这个问题的组织中推广良好的密码实践？

EN

我最近看到了罗斯·安德森写的这篇文章。除了告诉同事坏密码被破解的速度有多快外，值得注意的是，他们的研究表明，只要提醒人们一些密码的好规则，并对密码进行基本的归纳，就会带来一些好处。

http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-500.pdf

如果可能的话，找出为什么人们选择默认密码或共享帐户，看看是否有办法解决这个问题。考虑一下ssh到多个服务器并允许一些支持人员这样做的例子。与其拥有每个人都知道的单一密码，不如在这里使用密钥，这样它们就不需要记住任何东西了。他们只是用钥匙登录。如果您需要撤销密钥，请将其从服务器中删除(这显然只是一个示例)。

教育是关键，也是确保人们能够轻松地从事工作的关键。只要求每个人都选择一个长度为16+的密码，其中包含多个情况&然后他们必须每天输入25+一次的特殊字符是不可接受的解决方案。他们根本不这样做，并将回到使用6个字符的密码，他们在其他地方使用，因为这更容易。

问问他们是否有安全政策。如果不是，找出是否有人会负责创建一个。如果不是..。考虑提出一项政策，像这样的，但修改它.它有一些问题：http://www.sans.org/security-resources/policies/Password_Policy.pdf

请注意，当策略与现有策略(如PCI )发生冲突时，更强的策略将获胜。添加一个评审条款(例如，每年一次)，一个问题-指示-通知，异常过程，和版本控制的日期。如果有人有问题，建议他们参加你的年会。

介绍它的公告和审查期，例如3个月。允许反馈。举行你的第一次会议。把它交给管理层，希望它能宣布一项政策。

然后为您的团队开发一个管理密码的流程。建议将此过程作为其他团队创建符合策略的流程的指南。

一旦就绪，请考虑使用工具来审核密码强度。

编辑:顺便说一句，我同意这个网站的观点。这是一个地区IMHO，旧的密码政策，如在SANS需要调整。例如，8个字符，混合大小写，字母数字，特殊字符，没有字典词，盲目要求30天密码更改政策，禁止ssh到-根，要求不写密码等等，只是自找麻烦。OTOH，如果你给太多的灵活性，人们会变得马虎。密码管理的每一个方面都需要一个理由，并且应该能够受到挑战。

我遇到的最愚蠢的密码策略之一需要使用一个工具进行自动扫描，以检查密码的强度。由于禁用了密码身份验证，所以我的SSH自动ID多次被击中，只允许使用公钥/私钥。不幸的是，这意味着我必须创建一个cron作业，每90天创建一个随机密码。它不会进行通信，但该策略有效地降低了解决方案的安全性。

不要使用SSO：https://en.wikipedia.org/wiki/Security_令牌。

如果人们不得不记住与他们的活动没有直接关系的事情，他们会把它写下来，甚至使用一个简单的密码。强迫他们选择像'!@#aa$ogh443\‘这样的好密码，只会把他们逼疯。如果你的工作是关心安全，那就关心人民。弱记忆的密码永远比在键盘旁边的便笺上写上44个字符的密码更强。

给他们身份验证令牌，他们应该随身携带，所以选择一个小而好看的;)。它可能需要一些额外的工作背后，以使所有的工作，但这不是不可能的，它使一切更加标准化和易于管理的最后。