系统账号身份鉴别口令策略过于简单会阻碍等保2.0的测评吗？-木准企业

等保2.0要求身份鉴别口令策略需要多少个？过于简单的口令会让等保测评过程带来哪些麻烦？

应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。

应用系统无任何用户口令复杂度校验机制，校验机制包括口令的长度、复杂度等，可判定为高风险。

所有系统。

1、应用系统无口令长度、复杂度校验机制；

2、可设置6位以下，单个数字或连续数字或相同数字等易猜测的口令。

1、如应用系统采用多种身份鉴别认证技术的，即使有口令也无法直接登录应用系统的，可酌情降低风险等级。

2、如应用系统仅为内部管理系统，只能内网访问，且访问人员相对可控，可酌情降低风险等级。

3、如应用系统口令校验机制不完善，如只有部分校验机制，可根据实际情况，酌情降低风险等级。

4、特定应用场景中的口令（如PIN码）可根据相关要求，酌情判断风险等级。

建议应用系统对用户的账户口令长度、复杂度进行校验，如要求系统账户口令至少8位，由数字、字母或特殊字符中2种方式组成；

对于如PIN码等特殊用途的口令，应设置弱口令库，通过对比方式，提高用户口令质量。

声明：请谨记木准企服唯一官方电话:18300003210,请勿轻信其他其他联系方式,一对一入口。如遇诈骗请及时联系我们将配合处理！