作者jjasoncool (龍門忠武)
看板NetSecurity
標題[閒聊] 關於 ISO27001 的密碼更換代數問題
時間Tue Sep 9 13:37:47 2025
如題
最近因為稽核ISO27001 其實也有通過稽核驗證了
只是關於密碼定期更換這個問題
後來陸續有些組織開始提出不應頻繁更換導致使用者都使用
固定模式來進行更換更甚者導致自己密碼忘記就寫在隱密處等等困擾問題
(當然當事人的機敏資料必須進行控管有上鎖保管好等)
然而在近期有看到關於 NIST SP 800-63B
此指引有提到避免強制輪換密碼導致使用者負擔
想說有沒有人有遇到類似問題 歡迎一起討論
當然 強迫使用者換其實很簡單 只是在想有沒有可以符合規定
又可以讓使用者方便的雙贏做法
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 219.100.37.243 (日本)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/NetSecurity/M.1757396269.A.23E.html
1F:推 ym7834: password manager 跟 passkey 09/10 08:42
2F:→ ym7834: 另外雖說不換密碼,但要能去監看有沒有密碼流落在外面被 09/10 08:49
3F:→ ym7834: 人用來撞庫。能做到這個也是不容易 09/10 08:49
4F:推 asimon: 2FA、MFA.. Ex.OTP. 一組好的通行碼勝過N組爛密碼。 09/10 14:57
6F:→ asimon: NIST有一系列建議可參考,翻譯一下哪些適合可以拿去參考。 09/10 15:02
7F:→ jjasoncool: 感謝分享 09/10 20:46
8F:推 holishing: 推分享 09/18 21:44