我们有一个用于DEV、STG和PROD以及50多台机器的环境。
我们为每个服务创建了不同的域帐户(SQLServer、Agent、SSRS、SSIS和SSAS(,我们计划更改服务帐户密码,使其更强大。
问题是,每3到4个月不断更改一次服务帐户密码是一种好的做法吗?
下面是我觉得很好的几个最佳实践,如果有人能补充的话,还有更多的会有所帮助。
- 如果您的虚拟机是域的一部分,请将域帐户用于服务帐户
- 不要使用单一帐户提供所有服务。例如,对不同的服务使用不同的帐户
- 为服务帐户设置强密码
对此有什么建议吗?
关于轮换密码是否是一种好的做法-不再是了。我们之所以进行密码轮换,是因为有些人在他们那个时代最好的机器上进行密码破解(1979年的pdp8(,他们花了大约一个月的时间才破解,所以其他人决定每月轮换一次来缓解这个问题。从那时起,我们盲目地轮换一切,迫使人类违背本性,选择糟糕的密码,因为它们无论如何都会轮换。当密码泄漏时,你可以轮换密码,而不是当它们习惯于长密码时。
有关处理密码的其他最佳实践可在此处找到:https://github.com/OWASP/ASVS/blob/master/4.0/en/0x11-V2-Authentication.md#v21-密码安全要求(并非所有内容都与服务密码有关,但其中许多密码对服务密码和用户密码都是实用的(。