V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
holydancer
V2EX  ›  程序员

公司密码要求 12 位以上,每次修改不能用历史密码

  •  
  •   holydancer · 2019-11-01 16:09:25 +08:00 · 14870 次点击
    这是一个创建于 1852 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我已经快记不住我的新密码了!!
    156 条回复    2019-11-03 21:25:00 +08:00
    1  2  
    ihainan
        101
    ihainan  
       2019-11-01 20:55:32 +08:00
    公司要求 15 位以上,但同时购买了 1Password 企业版…
    laycher
        102
    laycher  
       2019-11-01 21:18:15 +08:00
    很正常,我觉得没有什么记不住的。每天都要输入密码,你肯定记得住。
    xmh51
        103
    xmh51  
       2019-11-01 21:28:16 +08:00
    没事呀,ab 两个密码 a 换 b b 换 a
    hui312
        104
    hui312  
       2019-11-01 21:34:48 +08:00
    不能保存密码吗
    duanran
        105
    duanran  
       2019-11-01 21:36:26 +08:00
    写在便利贴贴屏幕上,入职到现在已经换了两张了。。。。公司要求 12 位,大小写数字特殊字符至少使用三种。
    WhatIf
        106
    WhatIf  
       2019-11-01 22:36:06 +08:00
    @duanran 这样不被开除?
    duanran
        107
    duanran  
       2019-11-01 22:59:22 +08:00
    @WhatIf 科研机构上班,不涉及知识产权内容,就我个人所在的单位大家几乎都没有什么保密意识。。。。。而且每次钓鱼邮件还会有很多人上钩,IT 就会发邮件要点开链接的同事上报连 teamviewer 清病毒 /间谍软件
    Stain5
        108
    Stain5  
       2019-11-01 23:04:04 +08:00
    @janxin #6 太折腾员工了,有这种需求的应该采购密码学设备
    xy90321
        109
    xy90321  
       2019-11-01 23:10:55 +08:00 via iPhone
    年月按照格式不同就可以占到 4-6 位,剩下的固定词组自由发挥下不就好了…
    ksedz
        110
    ksedz  
       2019-11-01 23:58:21 +08:00   ❤️ 2
    我密码里有数字 000,下次换成 111,接着 222,接着 333,如果 999 了我还在这,从 0000 重新来过!
    efsg
        111
    efsg  
       2019-11-02 00:00:30 +08:00 via Android
    Bitwarden 自动生成并且记录
    lfcyme
        112
    lfcyme  
       2019-11-02 00:03:22 +08:00
    一个月换一次 233333
    tyx1703
        113
    tyx1703  
       2019-11-02 00:07:26 +08:00 via iPad
    @Har01d 曾经我也是网站名称+年份作为密码。但是太多之后,年份乱了,网站名称规律也乱了。不常用网站每次输密码都得尝试各种组合
    Maltazard
        114
    Maltazard  
       2019-11-02 00:11:49 +08:00
    然后每次都得写小纸条贴在手边,更不安全。
    likuku
        115
    likuku  
       2019-11-02 07:43:39 +08:00
    1password 我都用 26 位密码
    drawstar
        116
    drawstar  
       2019-11-02 08:25:55 +08:00   ❤️ 4
    每次用一句诗的首字母啊
    glgjssyqyhfbqz
    realpg
        117
    realpg  
       2019-11-02 08:54:21 +08:00
    @tyx1703 #48
    这不是给网站注册用的
    这是给公司内部应付密码轮转机制用的

    好在我公司用密码的场合极少,大部分用动态口令和私钥和证书
    295464512
        118
    295464512  
       2019-11-02 09:39:37 +08:00
    @ksedz 哈哈哈,是个狠人
    no1xsyzy
        119
    no1xsyzy  
       2019-11-02 09:44:08 +08:00
    给自己定个周期性目标,英文或者拼音 Capital@Case
    既记住了密码,又记住了目标
    aa543187001
        120
    aa543187001  
       2019-11-02 09:46:33 +08:00
    就在原密码上加 1 啊
    happyz90
        121
    happyz90  
       2019-11-02 09:48:02 +08:00 via Android
    xxxxxxxxxx01
    xxxxxxxxxx02
    ......
    oneisall8955
        122
    oneisall8955  
       2019-11-02 09:53:55 +08:00 via Android
    密码管理器那么多~
    ysicing
        123
    ysicing  
       2019-11-02 10:01:31 +08:00
    @drawstar 我也一样。
    12tall
        124
    12tall  
       2019-11-02 10:07:04 +08:00
    x7395759
        125
    x7395759  
       2019-11-02 10:14:23 +08:00
    +1s, +2s, +3s, +4s, +5s
    又续命有改了密码,多好。
    no1xsyzy
        126
    no1xsyzy  
       2019-11-02 10:53:30 +08:00
    @tyhunter 短期目标,每次输入还能提醒你这个目标
    我曾经的密码包括
    Read@More@Books
    Do@The@F*cking@Essay
    Be@More@Patient
    Go@Get@Some@Water
    当然,这个只能用于主密码,比如操作系统密码,其他还是 lastpass
    itbeihe
        127
    itbeihe  
       2019-11-02 10:56:36 +08:00
    ~!@#$%^&*()
    轮着一波~ ~
    MonoLogueChi
        128
    MonoLogueChi  
       2019-11-02 11:12:39 +08:00 via Android
    以前公司都直接把密码贴在桌子或者电脑屏幕上
    wooyuntest
        129
    wooyuntest  
       2019-11-02 11:38:58 +08:00
    密码这么设置,就不怕内网某台机器不巧因为钓鱼被弹了个 shell 出去,然后内网就被日穿了吗?
    no1xsyzy
        130
    no1xsyzy  
       2019-11-02 12:21:46 +08:00   ❤️ 1
    https://pages.nist.gov/800-63-3/sp800-63b.html#-511-memorized-secrets
    NIST 给出的记忆秘密认证法(即密码( password passphrase PIN )登录)指导方案。列举重要几条如下:
    (必须=SHALL,应该=SHOULD,可以=MAY,不得=SHALL NOT,不应=SHOULD NOT )

    对于自选密码:
    **必须**至少 8 字符
    **应该**能支持至少 64 字符
    **应该**支持 Unicode 密码,每个码位均**必须**视为一个字符,**应当**进行归一化
    **可以**将连续空格替换为一个空格,前提是替换后的结果仍然有 8 位以上

    对于机选密码( CSP ):
    **必须**至少 6 字符
    **必须**采用被核准的生成器

    对于任何密码:
    **不得**允许存储密码提醒
    生成/改变密码时,**必须**先验证该密码是否在一个(常用密码)列表中。该列表**可以**包括但不限于:从前泄漏过的密码、字典词、重复的或者有规律的字符、上下文有关字符。(根据译者的理解,是密码的全文而非密码内存在此种字符,简单地说就是系统自备一个暴破字典)如果密码在列表内,那么**必须**告知用户需要使用不同的密码,并告知被回绝的原因,并要求一个新密码。
    **应该**提供设置强密码的指示,比如密码强度量计
    **必须**提供一个限流措施,限制错误登录的次数
    **不应**包含任何其他限制。
    **不应**任意要求修改密码(包括定期),但是,**必须**在有证据表明该密码已泄漏时要求修改密码。
    **应当**允许 “粘贴” 密码,以促进密码管理器的使用,这很常见并在多数情况下用户会更可能使用更强的密码。
    no1xsyzy
        131
    no1xsyzy  
       2019-11-02 12:31:27 +08:00
    上述 “**不应**包含任何其他限制。” 后面用括号直接举例了 “要求密码包括不同字符类型”。
    除非你有个很好的理由,否则不要这么做
    gransh
        132
    gransh  
       2019-11-02 12:48:05 +08:00 via iPhone
    password@1901
    1902
    1903
    一个月改一次
    romisanic
        133
    romisanic  
       2019-11-02 13:05:45 +08:00
    前边相同 后边用三个数字的 shift 到期一次换一次
    bclerdx
        134
    bclerdx  
       2019-11-02 13:20:17 +08:00 via Android
    @tyhunter 有啊,我们公司的域控策略是 30 秒自动锁屏。
    whypool
        135
    whypool  
       2019-11-02 13:40:53 +08:00
    原密码+1 接着续
    已经从 00 续到 40 多了
    nuko
        136
    nuko  
       2019-11-02 13:47:15 +08:00
    公司电脑用加密软件·····不用密码·····
    tyhunter
        137
    tyhunter  
       2019-11-02 13:56:02 +08:00
    @no1xsyzy 所以我说这种域控政策强制要求改密码的公司 IT 就是变态。。。
    bclerdx
        138
    bclerdx  
       2019-11-02 14:10:01 +08:00
    @tyhunter 我们公司的域控策略是 30 秒自动锁屏。是不是更变态!公司的同事们全体向主管提出了抗议和愤慨,主管居然说,你们要表现好才可以把锁屏时间延长,你说变态不变态,尼玛的,表现好与不好和把锁屏时间延长有毛线关系啊?艹的咧!
    bclerdx
        139
    bclerdx  
       2019-11-02 14:11:00 +08:00
    @tyhunter 而主管自己的电脑却不受 30 秒自动锁屏限制。我日了狗了。
    yinjy
        140
    yinjy  
       2019-11-02 14:12:49 +08:00
    想个简单的,然后 md5
    danmu17
        141
    danmu17  
       2019-11-02 14:16:37 +08:00
    哈哈,一个因为不够专业而被制定出来的脑残安全标准在被废弃了之后果然还被很多脑残企业使用。
    这种脑残标准应用的结果就是到处都是类似 qazwsxEDC001 这样的弱口令。
    iXInbo
        142
    iXInbo  
       2019-11-02 14:39:13 +08:00
    姓名缩写+生日 + 编号,每次改+1
    polymerdg
        143
    polymerdg  
       2019-11-02 15:11:12 +08:00
    固定密碼+當前年月
    很好記啊
    no1xsyzy
        144
    no1xsyzy  
       2019-11-02 15:55:16 +08:00
    @tyhunter 其实 NIST 也是这一版才改正了
    那个包含 “定期修改” 和 “类型混合” 两个错误的版本传了很久了,我看也会继续存在一百年
    相对来说,各网站还是先搞定数据库存明文密码或者单 md5 的问题比较好……
    常见简单密码用 sqlmap 的时候会自动被反 md5 的……
    cjq8z
        145
    cjq8z  
       2019-11-02 18:23:41 +08:00 via Android
    简单解决方案:公司名字+工号+加数字
    下次要修改密码,只改末尾数字,从 0~无穷,公司倒闭还是不会重复的。
    yanqiyu
        146
    yanqiyu  
       2019-11-02 18:48:44 +08:00
    截取特定长度(取 hash(上一个密码+特定字符串)取 hash)
    HangoX
        147
    HangoX  
       2019-11-02 19:28:37 +08:00
    密码加年月不就好了。。我在公司就是这样干的
    WildCat
        148
    WildCat  
       2019-11-02 20:07:51 +08:00
    两句古诗,音序
    sazima
        149
    sazima  
       2019-11-02 21:25:01 +08:00
    mondeo
        150
    mondeo  
       2019-11-02 21:30:21 +08:00 via Android
    pwgen,至于怎么记就不知道了
    zjcpyc
        151
    zjcpyc  
       2019-11-02 21:31:32 +08:00
    我用了 qq 邮箱,哈哈
    sbrdfewxf
        152
    sbrdfewxf  
       2019-11-03 01:03:21 +08:00
    我司新规,密码要求大写,小写,数字,特殊符号必须同时有,8 位起步,短信或者 OTP 在线验证。而且 30 天一换,过期不换锁账号,需要分公司打报告给集团才能解开。。。。唯一优点就是,一号走遍天下。哈哈
    Kmzl
        153
    Kmzl  
       2019-11-03 01:19:35 +08:00 via Android
    我公司也要每季度改密码,于是只能把自己的 lastpass 装公司电脑
    backfrw
        154
    backfrw  
       2019-11-03 02:04:46 +08:00
    0001->0002->……000N
    ZackB0T
        155
    ZackB0T  
       2019-11-03 20:37:44 +08:00 via Android
    买本诗词(或者两本带个备份)。然后就是一般密码本操作。拼音按缩写一次一句,用过划掉
    pangpangtian
        156
    pangpangtian  
       2019-11-03 21:25:00 +08:00
    买本唐诗三百首 还能学习古诗。。。。
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3237 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 14:11 · PVG 22:11 · LAX 06:11 · JFK 09:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.