授权管理员的关联密码规则概述
root 帐户始终存在于配置中,不打算在正常操作中使用。在评估的配置中,root 帐户仅限于评估设备的初始安装和配置。
授权管理员与定义的登录类相关联,并为管理员分配所有许可权。数据存储在本地以进行固定密码身份验证。
不要在密码中使用控制字符。
为授权管理员帐户选择密码时,请使用以下密码准则和配置选项。密码应为:
易于记忆,因此用户不会试图将其写下来。
定期更改。
私密且不与任何人共享。
至少包含 10 个字符。最小密码长度为 10 个字符。
[ edit ] security-administrator@host:fips# set system login password minimum-length 10
包括字母数字和标点符号,由大小写字母、数字和特殊字符(如“!”、“@”、“#”、“$”、“%”、“^”、“&”、“*”、“(”和“)”)等任意组合组成。至少应更改一种情况、一个或多个数字以及一个或多个标点符号。
包含字符集。有效字符集包括大写字母、小写字母、数字、标点符号和其他特殊字符。
[ edit ] security-administrator@host:fips# set system login password change-type character-sets
包含最小数量的字符集或字符集更改。Junos FIPS 中纯文本密码所需的最小字符集数为 3。
[ edit ] security-administrator@host:fips# set system login password minimum-changes 3
用户密码的哈希算法可以是 SHA256 或 SHA512(SHA512 是默认哈希算法)。
[ edit ] security-administrator@host:fips# set system login password format sha512
-
如果完成设备配置,请提交配置:
[edit] security-administrator@host:fips# commit
该器件支持 ECDSA(P-256、P-384 和 P-521)和 RSA(2048、3072 和 4092 模数位长)密钥类型。
新的哈希算法仅影响提交后生成的密码。
弱密码包括:
可能在系统文件(如 /etc/passwd)中找到或作为排列形式存在的单词。
系统的主机名(始终是第一个猜测)。
字典中出现的任何单词。这包括英语以外的词典,以及莎士比亚、刘易斯卡罗尔、罗吉特词库等作品中的单词。这项禁令包括体育、谚语、电影和电视节目中的常用单词和短语。
上述任何一项的排列。例如,元音替换为数字(例如 f00t)或末尾添加数字的字典单词。
任何计算机生成的密码。算法会减少密码猜测程序的搜索空间,因此不应使用。
强可重用密码可以基于最喜欢的短语或单词中的字母,然后与其他不相关的单词以及其他数字和标点符号连接起来。