我有一个学术项目,需要制定一个安全计划。
我写了密码组合规则:
-
至少9个字符
-
至少一个数字
-
至少一个特殊字符
但我不确定我应该把它当作一个政策还是一个标准,但我很想把它当作一个政策。
其他规则呢?例如:
-
不要把密码写在上面
-
不同登录使用不同密码
这两个规则应该是一个标准吗?
策略描述了一个意图,其中标准代表了实现该意图的一组规则。
在您的情况下,策略将是:应用程序中的身份验证逻辑需要确保密码质量和唯一性。标准是:不少于9个字符应该被接受作为密码。顺便说一句。要查看一组不错的标准,请查看这里提供的OWASP ASVS(应用程序安全验证标准):https://owasp.org/www-project-application-security-verification-standard/
它会指出,像"至少有一个数字"这样的规则又穷又过时。需求2.1.9声明:
验证没有密码组合规则限制该类型允许的字符。不应该有上或上的要求小写字母、数字或特殊字符
您可以根据需要简单地复制粘贴OWASP ASVS。不用担心。整个科技行业都在这么做。:)