Windows口令管理的4个误区

　　事实并非如此

　　我每一年都要测试相当多的单独的Windows工作站、服务器和域名，以检查容易破解的口令。网络管理员偶尔告诉我说，他们知道每一个人都有一个薄弱的口令，但是大多数人都不知道这个问题是多么普遍。根据我看到的情况，大多数符合“一般可以接受的”要求的口令使用基本的试错法都是可以猜出来。这种微不足道的方法就可以让坏蛋得到丰厚的回报，而且他们被逮住的机会很小。

　　有一些合法的口令向网络管理员与其进行斗争的薄弱口令提出了挑战。许多薄弱的口令都给大多数机构带来了安全风险，让机构措手不久。下面是一些口令管理方面常见的错误，以及根据这些错误提出的增强Windows安全的一两个想法。

　　1.向所有的用户分配口令有助于保护他们工作站的安全

　　这是一个大错误。责任和义务必须置于用户的控制之下。否则，什么能够激励他们做得更好呢?注意，我并没有说口令政策的执行要置于用户的管理之下。这是个不同的问题。安全决策永远不要置于用户的手中。相反，要通过书面的政策、组策略对象或者其它口令管理系统以及正在实施的审计来执行强大的口令。当恶意的或者以前的网络管理员滥用无辜的用户的账户的时候会发生什么事情呢?事后的审计很难解决这个问题。

　　2.严密的物理安全措施能够使系统更安全地防御嗅探器和口令破解器

　　当内部Citrix NFuse Web网站接口、网络应用程序和其它系统与Windows域名账号联系在一起时会发生什么事情呢?原来只是内部问题的口令问题现在对全世界开放了。这是一个影响越来越多的系统的一个大问题。

　　3.高级管理层不能迫使用户记住复杂的口令，因此只能接受一切。

　　我发现的情况是高级管理人员或者企业的高级官员不真正了解这个问题的严重性。他们认为所有的用户都是可以信赖的，没有人能够共享他们的口令，而且当标准用户账号被破解之后也没有很多东西会丢失。

　　下面是暴露这个问题的窍门儿:简单地以基本的用户权限登录，看一下你在共享的网络服务器和工作站中能够看到什么。进行基本的文本搜索，查找“SSN”、“信用卡”、“dob”以及允许用户访问的其它关键词。查询的结果将使许多不相信这种事情的人认识到确实存在安全问题，特别是结合上述安全漏洞进行搜索就更是如此。

　　4.要求用户经常变换口令可保证Windows的安全。

　　这又是一个错误的概念。如果我们记不住新的口令，特别是每隔30、60或者90天就更换多个口令的时候，人类的自然反应会是什么样呢?我们会把这些口令记在纸上。如果用户被迫以安全的名义陷入这种不现实的循环之中，用纸记录下这些口令是很难避免的。这里的解决方案就是创建一个强大的而又很容易记住的口令。如果这些口令没有被其他人共享或者没有被破解，为什么要频繁更换呢?我总是建议人们使用强大的而又很容易记住的口令。

　　只要我们不得不为计算需求使用口令，我认为口令短语是惟一的一个现实的解决方案。根据大写、小写、数字和特殊符号的思路，创建一个口令短语，这种短语很长不容易破解并且很容易记住。一旦你用简单的词汇进行解释并且提供一个很好的口令例子，如“Man, I LOVE hard rock music!”(老兄，我喜欢摇滚乐!)，你的用户和企业官员的眼睛就会为之一亮。这个口令实际上就可以保证安全。