密码对控制网络访问和让其他人拖垮你的网络之间构成了关键性的安全屏障。这些年以来，密码与其外围的保护措施发生了显著的变化，每个公司似乎都有不同的密码安全政策，而用户几乎无法看出一个政策与下一个政策之间的连贯性。

　　比起剪切粘贴在政府网站上找到的13年之久的政策，思考应该把什么放进去才是一个好的密码安全政策以及为什么这么做，这将更加有意义的。

　　一部密码安全政策的目的是减少风险，这意味着要写出一个比较好的政策，企业首先应该去思考哪些风险是他们极力想要减少的。当然，你总是这么对自己说，“我不需要去思考风险；我只要能够编出一部有过强杀伤力的政策即可。”这有两个问题：第一，政策越是难以理解和遵守，用户就越可能去想办法对付政策。因此，制定一个不正常“超乎安全”的政策，事实是在给用户不安全操作的理由。

　　过强杀伤力政策的另一个问题，就是他们暗示了信息安全员工失职。如果一个IT团队不去正视那些安全风险，并找到极尽简单的政策来合理、平衡地管制，他们怎么还能期望公司的其他人能够尊重他们在其他信息安全领域的权威？

　　实施低级密码安全政策的风险

　　让我们更深层次地考察风险，以便分析密码安全政策应怎样反映出公司的风险。关于密码，你最大的三个风险是故意共享密码，盗取或丢失密码，以及猜测密码。人们共享密码是为了完成工作（有时是别的原因），然后他们不立即修改密码就养成了不好的习惯，但密码也经常会被盗取：背后偷窥，社交工程，显示器上的便利贴，系统和网站上密码反复使用，简单的密码重置过程等等。当然，密码也经常被猜出来，要么是通过强力（反复猜测各种可能的密码），要么是通过智能有目标的猜测方法。

　　*社交工程：是指在黑客理论中，指利用人性弱点、利用人际交往上的漏洞来非法获取资料的行为。

　　大多数的密码政策，只是把重点放在减弱密码猜测，而对其他方面要么不关注，要么关注非常少。安全经理们通常倾向忽略密码相关的重大风险，其中一个重要的原因是比起人工控制，实施技术控制更加容易。在众多操作系统中，你可以设置密码的历史记录、修改密码频率和复杂性要求。但没有任何注册表项可以教会人们如何规避背后偷窥，或提醒人们不要在别人电脑上输入密码。

　　密码猜测的风险经常被误判。例如，你有一个设计优良的防非法入侵功能的验证系统，别人强行进入网络的风险为零, 除非用户的密码非常明显。因为密码试过几次之后，防非法入侵功能便会启动，甚至能让原来正确的密码失效，因此猜测密码会立刻变得不可能，因为攻击者永远不清楚他什么时候猜中了。既然这样，你的密码复杂度要求变得简单，还能提供有效的保护机制。

　　另一方面，如果你没有防入侵功能，或你的验证系统有“后门”并绕开了防入侵功能，例如FTP 服务器或网页要求验证，然后强行攻击是有可能的，这时候需要更加复杂的密码。如果你的密码文件（或安全数据库）曾经暴露，强力攻击是可能的；密码越简单，攻击者越容易重构密码。

　　当你制定密码安全政策时，思考一下与密码有关的风险，然后制定能够适当补偿和管控风险的政策。同时，记住：最有效的政策背后需要强大的用户教育和频繁测试，来评估政策的适应性。

　　作者介绍：Joel Snyder是Opus One的高级合伙人。Opus One是一家专注于安全和信息的IT咨询公司。