账户密码最佳实践

本帮助文档旨在指导系统管理人员或安全检查人员进行通用的账户密码合规性检查和配置规范，使用本文档指导修改生产环境配置之前应该先进行充分测试验证，避免对生产业务造成干扰：

通用的账户密码 (通用密码包含:操作系统、web应用、数据库等)在技术条件满足时，账户/密码认证建议满足如下规则：

一、     账户与密码配置策略

1. 密码应该长度不少于10位；

2. 建议不要使用有一定特征和规律容易被破解的常用口令的密码（如：在常用彩虹表中的密码、滚键盘密码如：!QAZxsw2，qazxsw，1qaz@WSX，1q2w3e，123456789，password等），且密码复杂度至少包含大写字母、小写字符、数字、特殊字符四类中的三种；

3. 密码尽量不要包含账户如：adminstrator/administrator，test/test，root/root，oracle/oracle，mysql/mysql；

4. 建议至少每90天更改一次密码，若账户已经处于失效状态，则不要求修改；

5. 建议不要重复使用最近5次（含5次）内已使用的密码；

6. 建议根据不同应用设置不同的帐号密码，不建议多个应用使用同一套账户/密码；

7. 帐号管理人员初次发放或者初始化密码给用户时，如果知道密码内容，建议强制用户首次使用修改密码，不能强制用户修改密码的则为密码设置过期期限（用户必须及时更改密码，否则密码应被强制失效）；

8. 建议为所有账户配置设置连续认证失败次数超过5次（不含5次），锁定账号策略和30分钟自动解除锁定策略；

9. 建议对所有账户设置不活动时间超过10分钟自动退出或锁定策略；

10. 新建系统中的帐号缺省密码在首次使用前，建议强制用户更改；

11. 建议开启账户登录记录日志功能，登录日志最少保存180天，登录日志中不能保存用户的密码。

二、     账户与密码传输策略

1. 不建议以明文形式通过Internet、无线设备传送密码，所有账号密码认证体系在技术支持条件下，建议使用加密协议安全登录；

建议为用户建立安全的密码自助重置流程，密码重置应验证用户身份，比如邮件验证码验证、预留手机短信验证、