长密码更安全吗?

<h1>密码安全：复杂性与. 长度更新了2021</h1>
<blockquote>由于新机器的较高计算能力以及某些用户选择的角色组合的可预测性，蛮力的攻击变得特别有效. 由于记住随机数的序列的复杂性，实际上，用户通常会选择由连续数字和重复（例如123，4545）或相邻键盘键（Qwerty，ZXC等）制成的可预测序列（例如123，4545）。. 用户还可以从事许多其他风险行为，例如向下写密码或减少使用的字符数量. 当用户能够记住此类密码时，他们也倾向于在所有系统中始终如一地使用它们.</blockquote>
<h2>密码复杂性规则的好处和缺点</h2>
<p>近年来，网络安全专家质疑密码复杂性规则的实用性. 自从互联网和电子邮件成为主流以来，密码复杂性规则已经以某种形式存在. 此后，它们已成为全世界各行业密码政策的共同功能. 但是，面对数字时代的网络安全威胁的独特斗争，一些专家认为，密码复杂性规则的某些要素已经超过了其实用性，而现代问题需要更现代的解决方案.</p>
<p>尊敬的标准机构，国家标准技术研究所（NIST）现在建议不要使用特殊角色，并鼓励用户以非常可预测的方式对组成规则施加的要求做出响应，因此攻击者可能会猜测密码过去成功的</p>
<p>其他组织还改变了他们对以前通用和长期建立的密码复杂性规则的立场. 考虑到这一点，我们想检查密码复杂性规则的好处和缺点及其今天的实用性.</p>
<h4>什么是密码复杂性规则?</h4>
<p>密码复杂性规则的目的是增加可能的密码宇宙，假设更多的可能性会使一个陌生人更难猜测.</p>
<p><strong>典型的密码复杂性规则如下：</strong></p>
<ul>
<li><strong>字符长度</strong>：安全专家在最佳密码长度上有所不同，但通常认为8个字符密码是最低的. 一些专家认为应该执行10、12或20个字符. 当涉及密码长度时，密码越长，越好，因为破解较长的密码越困难且耗时. 因此，许多随机密码生成器使用20个或更多字符，因此.</li>
<li><strong>特殊字符：</strong> 特殊字符是任何不是字母或数字的字符，但仍然通常显示在键盘上，例如 !@＃$％＃＆*. 执行特殊字符的想法是，它可以防止用户使用通用单词作为密码，这将使他们容易受到简单的字典攻击.</li>
<li><strong>大写和小写字母：</strong> 使用上层和小写字母的混合在一起，可以通过增加攻击者必须尝试的不同字母组合的数量来更难破解密码. 例如，对于一个小写的8个字符密码，将有26^8（字符集加长度）可能的字母组合. 一台现代计算机可能会在几天到几分钟内破解，具体取决于计算机的计算能力. 根据Thycotic的说法，对于8个字符密码，混合了较低和大写字母，现在可能组合的数量为52^8，计算机要花更长的时间才能破解。.</li>
<li><strong>数字：</strong> 包括密码中的数字增加了复杂性，出于相同的原因使用上下小写字母的混合物；它增加了可能的组合数量.</li>
</ul>
<h4>密码复杂性规则的好处</h4>
<p>从理论上讲，密码复杂性规则的主要好处是它们强制使用更难破解的唯一密码. 您执行的要求越多，字母，数字和字符的可能组合数量越高. 这增加了计算机要做的破解密码的工作量，从而增加了破解密码所需的时间. 如果需要花费太长时间，一些攻击者会放弃它，并试图追求更轻松的目标. 这是密码破解的关键.</p>
<p>创建密码时，目标不是创建难以裂缝的密码，因为这样的东西不存在. 有足够的时间和计算能力，所有密码都可以破解. 目标应该是制作一个难以破解的密码，以便攻击者不会浪费时间在该密码上.</p>
<h4>密码复杂性规则的缺点</h4>
<p>密码复杂性规则试图执行这一“难以破解”要求，但并不总是成功的. 这部分与增加复杂性涉及的回报递减有关</p>
<p>如果黑客知道经常使用更长的密码，则15个字符密码比30个字符密码要好得多? 如果用户不记得密码会更好? 密码复杂性仅扩展到某个点. 除了一定程度之外，如果可能的组合数量极高，那么复杂的密码可能很难破解，但是它也可能太复杂，无法对用户有用.</p>
<p>这不仅是密码很长的问题，而且复杂性要求的增加. 许多组织发现，随着复杂性需求的增加，用户的密码卫生将更糟. 如果您要求用户添加数字和特殊字符，他们可能会更改其现有易于记录的密码，并使用1或2个额外的字符创建类似的密码.</p>
<ul>
<li><em>例如：</em></li>
<li><em>我的密码是GoCubuffalos</em></li>
<li><em>我可能会重复使用此密码，然后添加一些字符，例如：gocubuffalos</em></li>
</ul>
<p>复杂性要求本身并不承担任何偏见，而用户会选择哪些字母，数字和字符. 实际上，有很多偏见. 例如，在分析超过300万个8个字符密码的分析中，使用了字母“ E” 1.500万次，而字母“ F”仅使用250,000次. 数字“ 1”也是密码中最常用的数字. 为了进一步说明这一点，让我们回到我们示例lowscons 8数字密码的可能组合的示例. 我们说这里有26^8种可能的组合，如果字母按任何顺序排列，这是事实. 英语中大约有17,000个8个字母的单词，其中只有大约500个通常使用. 这大大减少了可能的8位密码的数量.</p>
<p>但是，人们通常也不会选择随机订购的字母作为密码.</p>
<p>leetspeak在密码中很常见. leetspeak是当标准字母通常被数字或类似于外观字母或反之亦然的特殊字符取代时. 因此，leet这个词可能等于1337.</p>
<ul>
<li><em>例如：</em></li>
<li><em>我的密码是GoCubuffalos</em></li>
<li><em>我会重复使用此密码，然后做一些常见的字符替代品，例如：gocubuff4l0s</em></li>
</ul>
<p>人们还在密码中使用非常常见的模式，例如在基本字之前添加数字和字符. 这是我们称为“根密码.透明</p>
<ul>
<li><em>例如：</em></li>
<li><em>我的密码是GoCubuffalos</em></li>
<li><em>我会在或之后重复使用此密码，只有一些字符：gocubuffalos1!</em></li>
</ul>
<h4>复杂性或没有复杂性?</h4>
<p>由于已经添加了复杂性要求，并且需要密码的帐户多年来增加，因此我们发现自己处于很难记住密码的情况下，但现代计算机很容易猜测或估算. 这并不一定意味着所有密码复杂性规则都应删除，但是我们需要重新考虑使密码复杂的原因，同时也考虑其有用性. 这就是为什么NIST密码指南和许多其他组织正在删除密码中特殊字符的要求.</p>
<p>相反，有些组织推荐密码代替密码. 密码包由几个随机单词组成，这些单词容易让人记住，但对于计算机来说很难破解和估计. 例如，根据我们的密码破解计算器. 虽然这将有助于使密码更加安全，但即使是密码，如果它们在帐户中暴露和重复使用，它们也不强大.</p>
<p>虽然大多数安全专家都同意密码长度要求对于密码安全至关重要，但有关特殊字符，上下案例字母和数字的其他复杂性要求的争论很多. 无论您是支持这些密码复杂性规则还是针对它，很明显，仅密码复杂性规则都不会足够使密码安全. NIST建议组织应考虑实施裸露的密码筛选作为其密码策略的一部分，以确保其用户不重复使用被损害的密码或密码. 这种分层的密码安全方法是确保密码安全，强大和独特的最佳方法.</p>
<ul>
<li>Enzoic用于Active Directory</li>
<li>enzoic for Ad Lite密码审核员</li>
<li>Enzoic API</li>
<li>漏洞监控</li>
</ul>
<h2>密码安全：复杂性与. 长度[更新2021]</h2>
<p>当涉及用户身份验证时，密码是并且已经是最常用的机制。密码用于访问计算机，移动设备，网络或操作系统. 本质上，它们是我们日常生活的一部分. 随着时间的流逝，需求发展了，如今，大多数系统的密码必须由一组冗长的字符组成，这些字符通常包括数字，特殊字符和上下案例的组合. 密码的强度被视为其复杂和/或长时间的函数；但是，最重要的是大小或复杂性?</p>
<p>任何系统，无论哪种方法用于识别和/或身份验证都易于黑客入侵. 受密码保护的系统或数据收集（认为银行帐户，社交网络和电子邮件系统）每天都进行探测，并且不仅要通过网络钓鱼和社会工程方法进行频繁的攻击，而且还会受到密码破解工具的攻击. 辩论总是开放的，长度与. 复杂性问题划分专家和用户. 两者都有利弊以及自己的支持者.</p>
<h2>不良密码习惯</h2>
<p>面对现实吧，大多数用户倾向于创建可怕的密码，并且很少更改它们. 今天，我们每天需要的每个系统，设备，帐户都有其自己的密码创建规则，并且很难（也许不可能）跟踪所有访问键. 写下密码，使用易于记录的单词或短语或创建较短的访问键是我们都要求定期使用密码的直接结果的问题，这是所有系统的直接结果. 有太多关键字要记住，人们通常会选择更安全，在线和离线的较弱密码.</p>
<p>弱和不安全的密码是安全问题，也是通往违规的门户，不仅会影响目标用户. 创建钥匙很重要.</p>
<p>在与选择不良密码有关的软件工程研究所（SEI）的证书部门报告的安全事件中. “安全性仅与最弱的链接一样强大”一词强调了用户在安全链中的角色的重要性，以及训练和帮助他们选择有效保护资产和数据的Passkeys的需求. 密码破解的演变继续进行，并且密码较弱只能使黑客的工作变得更加简单.</p>
<p>根据I-Sprint Innovations和EGOV创新的一份2015年年度公共部门信息安全调查调查，“弱身份验证安全是数据泄露的主要原因，占损害记录的76％.此外，企业创新研究指出，“基于密码的简单身份验证”并不是保护所有这些宝贵数据的适当手段. 问题在于，许多组织仅依靠基于密码的身份验证，而没有选择更安全的身份验证系统（E.G., 基于PKI，基于OTP或基于上下文的身份验证，或者启用生物识别标识符）.</p>
<h2>最佳密码?</h2>
<p>密码长度和复杂性的考虑是寻求理想密码的关键. 复杂性通常被视为安全密码的重要方面. 直觉上，字母数字和符号的随机组合似乎是防止破裂的最佳防御. 词典攻击得益于寻找最有可能单词组合的工具，无法及时“猜测”此类密码. 它们是否真的有效地抵抗所有攻击? 可能不会. 例如可能的组合. 这种攻击是臭名昭著的iCloud漏洞的中心，暴露了数百名名人的个人照片.</p>
<p>由于新机器的较高计算能力以及某些用户选择的角色组合的可预测性，蛮力的攻击变得特别有效. 由于记住随机数的序列的复杂性，实际上，用户通常会选择由连续数字和重复（例如123，4545）或相邻键盘键（Qwerty，ZXC等）制成的可预测序列（例如123，4545）。. 用户还可以从事许多其他风险行为，例如向下写密码或减少使用的字符数量. 当用户能够记住此类密码时，他们也倾向于在所有系统中始终如一地使用它们.</p>
<p>很长的密码也是如此? 可能. 冗长的密码通常与密码熵的增加有关，这基本上是键中有多少不确定性的量度. 熵的增加被认为与密码强度成正比. 因此，与较短的随机字符列表相比.</p>
<p>用实际单词制成的冗长密码绝对更容易记住，并且可以帮助用户以更安全的方式管理它们. 但是，如果用户选择彼此过于相关或太个人化的单词，可能会出现问题；这将为基于字典的密码工具打开大门，即使存在大量可能的组合，也可以猜测正确的顺序. 使用令人难忘或熟悉的事物（家庭，宠物或街道名称），即使在足够长度和复杂性的密码中也是不切实际的，因为它非常容易受到穿透器的发现.</p>
<h2>因此，是什么使密码安全?</h2>
<p>一篇有趣的Microsoft Technet博客文章展示了如何通过查看计算熵位的公式（以破解密码的困难程度的措施），强调长度的作用. 公式是log（c） / log（2） * l，其中c是字符集的大小，l密码的长度；从数学的角度来看，长度L（长度）在熵位的计算中如何具有主要作用. c通常包括符号，下部和上层案例字符以及总共96个可能的字符的数字，如果有些字符被排除在外：“当以此光线查看密码时，它确实开始变得清楚多么重要的密码长度是多么重要，与确定的复杂性要求相反. 为此，如果您使用的是具有10个字符的密码（仅数字），以实现与94个字符集相同的熵（所有可能的ASCII字符），则只有双人密码的长度. 换句话说，一个由仅数字组成的16个字符的密码提供了与由94个可能的字符组成的8个字符密码相同的困难划分级别.透明</p>
<p>尽管方法的组合可能会更好：冗长且相当复杂的密码.</p>
<ul>
<li><strong>冗长</strong> – 短长的密码相对容易破坏，因此想法是创建更长的密码以增加安全性并使其不可预测. 那么所需的长度是多少? GTRI的研究科学家约书亚·戴维斯（Joshua Davis）说，2010年佐治亚科技研究所（GTRI）的一项研究讲述了12个字符的随机密码如何满足打败代码破坏和破解软件的最小长度要求。. GTRI的高级研究员理查德·博伊德（Richard Boyd）说：“八个字符的密码现在不足……如果您将角色仅限于字母字母，则可以在几分钟内进行破解.“无论如何，要安全起见，应采用12个字符的密码长度.</li>
<li><strong>强大而复杂</strong> – 强密码仍然是关键. 安全专家一致认为，上层和小写字母数字是提高密码强度并能够抵抗猜测和蛮力攻击的良好实践. 为了增加复杂性而不会损害易用性，用户可以通过插入空间，标点符号和拼写错误来修改密码。.</li>
</ul>
<p>虽然，最终，任何密码都可以妥协，但可以使用两种方法的组合来增加使用任何攻击方法破裂所需的时间.</p>
<p>当然，用户还需要意识到密码强度并非全部. 诸如在浏览器中使用自动保存功能或在桌面文件中保存密码之类的风险行为，甚至将损害最强的密码. 社会工程策略的祈祷也将失败使用任何强大，不可能的密码的目的.</p>
<p>还应通过系统管理员实施的措施来授予保护，这些措施可以使用工具来限制可以在系统拒绝任何访问数据之前可以进行的密码裂缝尝试的数量. 除了使用密码之外. 此外，在一家公司中，常规密码审核将有助于加强安全姿势，以确保所有访问Passkey的复杂性和强度都足够.</p>
<h2>结论</h2>
<p>基于密码的身份验证已经存在一段时间，这是最简单的安全形式，要求用户验证其身份。因此，即使在身份验证方法中，他们也不会很快消失，即使在其他安全的替代方案中，也可能会继续在网络安全的未来中发挥重要作用. 换句话说，尽管密码弱了，但密码不会死亡。因此，人们需要知道如何使密码“少”可预测. 直到“人类的弱点被最小化或消除”之前，也许“消除人类与密码的互动并自动选择和改变是多个层面上的主要一步，” Richard Walters GM/VP/VP，Intermedia，Intermedia，In In Indermedia，Intermedia，In Infosecurity杂志帖子</p>
<p>要求用户应用复杂性以及长度规则以及基本的安全惯例，以最大程度地减少看到其密码损害的几率. 如上所述. 通常，经常添加额外的安全性. 例如，将两因素身份验证耦合为用户提供更好的安全感，因为它提供了某种类型的物理或辅助验证.</p>
<p>多因素身份验证策略可能是识别和验证用户的更好方法。但是，如果密码较弱，则整个身份验证系统被削弱. 因此，创建可以抵抗攻击的密码的重要性仍然至关重要.</p>
<p>用户的意识对于传达使用可以真正保护数据资产的密码的重要性很重要. 当然，即使是最强大的密码也无法承受像凭证数据库那样的攻击，而黑客只需收集几十个密码和身份验证信息即可解码和闲暇时使用；但这是另一个问题.</p>
<h2>密码复杂性与长度</h2>
<p><img src=”https://www.lepide.com/blog/wp-content/uploads/2021/04/password-complexity-vs-length-small.jpg” /></p>
<p>在数字时代，我们在许多方面使用密码，包括电子邮件帐户，桌面和移动设备，社交媒体平台，零售平台，医疗保健门户等等.</p>
<p>试图记住我们使用哪些密码用于哪些帐户可能是压倒性的. 不难理解为什么人们很想使用简单的密码，并且也将相同的密码用于多个帐户. 但是，众所周知，这不是一个好习惯，因为它使希望能够访问我们数据的对手变得更加轻松.</p>
<p>过去，我们可以使用易于猜测的密码（例如“ password123”）逃脱. 但是，如今，许多平台都强制使用复杂的密码，这些密码需要大写和小写字符以及数字和特殊字符.</p>
<p>直到最近，这是一个很好的做法. 但是，重点已从简短和复杂的密码转变为使用更长（尽管更简单）的密封量.</p>
<h2>NIST建议</h2>
<p>根据国家标准技术研究所（NIST）提供的指导，密码长度比密码复杂性更重要. 实际上，这是很有意义的. NIST为组织提供了许多其他建议，其中一些包括：</p>
<ul>
<li>密码应由15个或更多字符组成.</li>
<li>不需要大写，小写或特殊字符.</li>
<li>如果您认为您的网络已被妥协，则只要求用户更改密码.</li>
<li>根据经常被妥协的密码列表检查所有新密码.</li>
<li>在进行多次失败的登录尝试后，避免将用户锁定在他们的帐户中，因为黑客通常会尝试通过故意尝试不正确的密码来洪水泛滥网络，以便将用户锁定在其帐户之外.</li>
<li>不允许密码“提示.透明</li>
</ul>
<h2>您应该使用密码管理器吗?</h2>
<p>使用密码管理器是双刃剑. 一方面，它们对于使我们能够记住大量复杂密码非常有帮助. 所有密码都保存在安全的金库中，并受到单个强密码的保护.</p>
<p>当然，是获得保管库密码的对手，他们将可以访问您的所有帐户. 也就是说，大多数安全专业人员仍然认为，使用密码管理器的好处大于风险.</p>
<h2>基于上下文的密码</h2>
<p>虽然不是NIST建议的一部分，但使用密码管理器的替代方案是使用基于上下文的密码，我们试图访问的帐户为我们提供了我们用于帐户哪种密码的线索.</p>
<p>例如，假设我们想为eBay帐户创建密码. 我们可以使用使用公司名称的前四个字符作为短语中每个单词的第一个字符，我.e.</p>
<p>（e）dible（b）ARMOMETER（a）BSOLOTIE（y）.</p>
<p>如果这似乎太容易猜测了，您可以扭转单词的顺序并使用不同的符号，我.e. <br />Y- Y-outhness a-bsolution b-Arogem e-dible e-dible.</p>
<p>当然，有人可能会说这仍然太容易猜测了，因为黑客将对您使用的密封症有一个线索. 但是，如果有许多不同的系统可供选择? 为了说明我的观点，让我们尝试一套稍微不同的规则.</p>
<ul>
<li>取公司名称的前五个字符.</li>
<li>扭转短语中单词的顺序.</li>
<li>在每个单词的第一个字符之后添加一个时期.</li>
<li>替代和附加主题标签（＃）和 @符号分别为每个单词的末尾.</li>
</ul>
<p>因此，让我们为政府创建一个密码短语.英国 – 前五个角色是“ Govuk”. 使用上面的规则，我们可以提出类似的内容：k.nowledge＃u.tter@ v.Ertical＃o.笔@ g.燕麦＃</p>
<p>那不是太久了? 好吧，重要的是要记住的是，您可以选择哪种mnemonics系统最适合您并坚持下去. 只要您记得系统，您就很容易弄清楚用于哪个帐户使用的密码. 而且，每次进入密码时都会使用该系统，应该不难记住该系统. 但是它足够安全吗? 是一个黑客访问一组凭据吗？? 可能是，但是这将非常困难，因为要寻找的潜在组合会有很多（假设您选择了一个足够复杂的系统）.</p>
<p>归根结底，必须进行权衡. 要求某人记住他们使用的每个帐户的一系列无关单词，但使用密码管理器也有其自身风险，这是不切实际的. 不仅如此，如果您想从通常不使用的设备访问帐户，则需要安装相同的密码管理器以访问密码.</p>
<p>实施密码管理策略后，您将需要一个工具来帮助您清理永不过期，自动化密码提醒并轻松生成密码报告的密码. Lepide使IT团队能够使用自动到期的提醒，并通过使用设置的密码清理帐户来减少攻击表面. 欲了解更多信息，请点击此处.</p>
<strong>菲利普·罗宾逊</strong>
<p>菲尔（Phil. 多年来，菲尔一直在努力创建一个始终如一，有趣并且与Lepide开展业务的品牌. 菲尔（Phil）领导着一大批市场专业人士，他们共同的目标；使Lepide成为行业的主要力量.</p>
<h2>密码长度比复杂性更好?</h2>
<p>不幸的是，我们似乎只关心密码被黑客入侵. 这种情况发生的频率比您想象的要多.</p>
<p>根据Verizon的2022年数据泄露调查报告，被盗的证书涉及所有数据泄露的一半，这是自2017年以来增长30％.</p>
<p>尽管大多数员工都知道与重复密码或创建易于记住的密码相关的危险，但他们仍然这样做. 这种行为的大部分与密码疲劳有关. 被迫每月或季度更改其数十甚至数百个密码几乎鼓励人们使用弱密码.</p>
<p>但这并不能理会密码带来巨大风险的事实. 因此，如何减少涉及弱或被盗密码的违规的机会? 提高密码管理的两种最佳方法是增加密码长度和密码复杂性.</p>
<p>在本文中，我们将讨论密码长度和复杂性之间的差异，解释哪个更重要，并提供了确保公司数据和客户数据的建议.</p>
<h2>密码长度和复杂性有什么区别?</h2>
<p>密码长度是指字符数（字母，数字，标点符号等）.）密码. 专家建议在可能的情况下使用更长的密码. 密码的时间越长，其可能的排列越多，因此网络犯罪分子破裂越来越困难.</p>
<p>但是长度并不是创建强密码一复杂性时唯一重要的事情是另一个关键组件. 密码复杂性是指密码中字符的组合. 复杂的密码具有多种多样的字符组合，这些字符不一定具有逻辑意义. 例如，使用人的姓名，数字顺序的数字或密码中的其他可理解单词，比随机的数字，大写字母，小写字母和符号更容易猜测.</p>
<p>事实证明，在密码方面，我们不是很有创造力。 24％的美国人使用了某种形式的密码：ABC123，Admin和123456. 为了使用户更容易创建高度复杂的密码，许多单个登录（SSO）密码管理器都带有内置的随机密码生成器.</p>
<h2>密码长度与. 复杂性：更重要的?</h2>
<p>美国国家标准技术学院（NIST）每隔几年就规定密码指南. 报告中突出了密码长度和复杂性，但最新的NIST建议指出，密码长度优于复杂性. 该主张源于这样一个事实，即执行角色要求并不总是会产生强大的密码.</p>
<p>例如，假设一家公司强迫员工使用至少一个大写字母，一个小写字母，一个数字和一个特殊字符创建密码. 即使有这些要求，人们的密码仍然可能最终是“ ABC123*”，这并不比如果没有的要求就可以使用的内容要好得多。.</p>
<p>较长的密码使网络攻击者更难解决，因为每个添加的字符都有指数的选择. 简而.</p>
<p>而且，如果您添加了一些复杂性，那么密码将变得更具挑战性解码. 一个12个字符的密码，其中包含至少一个大写字母，一个符号和一个数字需要34,000年的计算机才能破解.</p>
<h2>如何提高密码安全性</h2>
<p>现在我们已经讨论了长度和复杂性如何影响密码安全，现在该改善您的总体密码姿势了. 这只是一些想法：</p>
<h3>员工教育</h3>
<p>您可能已经对员工进行了安全培训，但是请他们最新的NIST密码卫生建议最新是必须的. 毕竟，他们是创建和更新密码的人，如果他们不知道要遵循哪些密码管理的最佳实践，他们将无法确保它们的安全.</p>
<h3>密码管理政策</h3>
<p>设置密码规则可能会严重影响您的密码安全性. 对密码长度和复杂性的建立要求，并为员工设置定期提醒，以旋转和更新密码. 尽管如此，它也给它带来了额外的压力.</p>
<p>通过密码管理器执行这些政策变得更加容易，更简化. 最好的密码管理器具有内置密码生成器，可以创建随机，唯一的密码，将这些密码保存到保管保存数据库中，并连接到多因素身份验证提供商，以确保试图访问某个系统的人有权授权这样做.</p>
<h3>使用单一签名和多因素身份验证</h3>
<p>简而. 使用SSO，用户只需登录一次即可访问其所有IT资源. 换句话说，一个用户名和一个密码都是他们要记住的所有日常工作.</p>
<p>MFA在登录过程中添加了第二个或第三个因素，无论是通过SMS，Authenticator应用程序还是生物识别技术确认身份. 总体而言，当您限制员工必须记住的密码数量并添加额外的身份验证步骤时，密码将变得更加安全.</p>
<p>了解有关SSO和MFA与MFA中SSO和MFA之间的差异和相似性的更多信息.</p>
<h2>加强密码管理</h2>
<p>虽然员工完全有能力创建长而复杂的密码，但取决于他们的密码，最佳实践可能不是最好的方法. 我们都是人类. 为了减轻对员工的压力，并帮助他们专注于最擅长的事情，许多组织都转向密码管理解决方案，例如JumpCloud Identityos.</p>
<p>JumpCloud Identityos应用程序使密码管理无摩擦，使用户可以直接维护和保护其密码免受unkcloud管理的设备. IdentityOS支持MACOS和Windows设备，并自动发送复杂性检查，密码旋转提醒和其他更新，以确保密码安全和最新.</p>
<p>减轻您的IT团队的负担，并了解有关IdentityOS应用程序的自助服务密码管理方法的更多信息.</p>