Politica di età / complessità della password dell'utente

18

Qualcuno ha delle risorse per determinare una politica di password ragionevole per i miei utenti? La mia inclinazione personale è quella di aumentare la complessità della password e consentire loro di cambiarla meno spesso come una specie di compromesso. Sembra che il mio utente medio abbia una tolleranza più alta per il mixaggio di alcuni numeri e caratteri speciali rispetto a 5 o 10 anni fa.

Sto cercando regole empiriche e / o risorse che posso utilizzare per eseguire il backup delle modifiche alle politiche proposte. O anche informazioni aneddotiche da chi ha più esperienza.

(Sono ben lungi dall'essere un guru della sicurezza, quindi se questo è solo vago da gestire, restringiamo la domanda da applicare solo alle password di rete interne di Windows, anche se sarei interessato a ciò che la gente sta facendo in termini di VPN e web politica di servizio)

security password

— Kara Marfia
fonte

Puoi dirci di più sull'ambiente software di cui hai bisogno per adattarlo? Windows, * nix, Plan9 ... ???

— quux

Più una questione politica che specifica della tecnologia. Probabilmente confina con una discussione religiosa per capire se avresti bisogno di una politica diversa per le finestre rispetto alle caselle * nix? ;)

— Kara Marfia,

20

Nel mondo odierno di attacchi casuali di password a forza bruta, tendo a concordare con l'affermazione che: una buona password scritta è meglio di una password memorizzata che è facile da indovinare

— Brent
fonte

1

Hai dimenticato: ... scritto e conservato in un luogo segreto. No, metterlo sotto la tastiera non conta ;-)

— John Smithers,

2

In realtà, Vorrei includere "annotato e registrato sul monitor in bella vista" - semplicemente perché così tanti attacchi arrivano in remoto, che una password scadente è un rischio MOLTO maggiore.

— Brent,

2

Per le persone che continuano a dimenticare le loro password, consiglierei che se devono scriverlo, lo fanno e lo mettono nel portafoglio o nella borsa. Le persone non tendono a lasciare le persone in giro e notano anche se sono scomparse;)

— Nathan,

4

No Scrivi la password corretta e la memorizzi nel tuo portafoglio, quindi scrivi la password sbagliata e la infili sotto la tastiera. Se trovi il tuo account bloccato, chiama il personale di sicurezza.

— Romandia,

1

Ogni volta che scrivo una password, faccio pratica per aggiungere un paio di caratteri all'inizio e alla fine. So che sono extra, ma nessuno lo farebbe. Immagino che non funzionerebbe così bene con le parole del dizionario.

— Brent,

10

Ecco un buon confronto tra la forza della password:

http://www.lockdown.co.uk/?pg=combi

— Scott
fonte

Perché questo viene votato? Mi sembra che questo sia ciò che voleva il richiedente.

— Scott,

Dal momento che è esattamente il tipo di informazioni che stavo cercando, forse la mia domanda era difettosa? Immagino che le persone si oppongano alle risposte senza collegamento ipertestuale, ma non sono sicuro di cos'altro debba essere detto.

— Kara Marfia,

Potresti per favore scrivere qualcosa sul link nella tua risposta, ad esempio perché pensi che questo link sia una buona lettura riguardo alla domanda?

— Sam

9

Stai facendo la cosa giusta considerando ciò con cui i tuoi utenti sono disposti a lavorare. Se imponi password altamente complesse che devono cambiare frequentemente, scoprirai che il consumo di post-it salirà alle stelle.

+1 per ottenere il rappresentante di Jon di "666" ;-)

— tomjedrz,

@tomjerdz: grazie. Ho fatto uno screenshot, però;)

questo è quello che fa il mio datore di lavoro ora: 60 giorni, "3 su 4" e nessuna ripetizione negli ultimi 24. Quindi tutti escogitano "variazioni su un tema" facili da ricordare. Purtroppo non "sicuro" come dovrebbe essere.

— Warren,

6

C'è un contributo sensato a questo argomento da parte di Gene Spafford al CERIAS di Purdue . Ecco una citazione parziale:

Quindi da dove viene la frase "cambia password una volta al mese"? Ai tempi in cui le persone utilizzavano i mainframe senza rete, la più grande preoccupazione di autenticazione incontrollata era il cracking. Le risorse, tuttavia, erano limitate. Per quanto riesco a trovare, alcuni appaltatori del Dipartimento della Difesa hanno fatto alcuni calcoli precisi su quanto tempo ci vorrebbe per passare attraverso tutte le possibili password usando il loro mainframe, e il risultato è stato di diversi mesi. Quindi (abbastanza ragionevolmente) impostano un periodo di cambio password di 1 mese come mezzo per sconfiggere i tentativi sistematici di cracking. Ciò è stato poi sancito dalla politica, che è stata pubblicata e ampiamente accettata da altri nel corso degli anni. Col passare del tempo, i revisori hanno iniziato a cercarlo e hanno finito per inserirlo nella loro "migliore pratica" che si aspettavano.

Questo è DISPETTO del fatto che qualsiasi analisi ragionevole mostri che una modifica mensile della password ha un impatto minimo o nullo sul miglioramento della sicurezza!
Si tratta di una "best practice" basata sull'esperienza trent'anni fa con mainframe non collegati in rete in un ambiente DoD, quasi una corrispondenza per i sistemi di oggi, specialmente nel mondo accademico!

— Liudvikas Bukys
fonte

+1 interessante. Mi sono sempre chiesto di chi fosse questa idea.

— sleske,

4

Sono molto più a favore di una password più lunga (che, realisticamente, significa come in frasi di più parole in te le ricorderai) invece di mescolare parole e numeri. Se costringi le persone ad aggiungere numeri, è più probabile che facciano cose semplici come sostituire i con 1 ecc. Che non ti dà molta sicurezza.

http://www.iusmentis.com/security/passphrasefaq/

— Wilka
fonte

Le passphrase rappresentano un netto miglioramento rispetto alle password in termini di memorabilità e complessità.

— Chris Upchurch,

4

Ci sono tonnellate di materiale sulle Politiche password. Consiglio di dare un'occhiata

L'articolo di Wikipedia sulla politica delle password
Documento sulla politica delle password SANS .
NIST sp800-118 bozza intitolata Guida alla gestione delle password aziendali

Ora, qualcosa da dire sulla sanità mentale delle password . Il fatto è che le password difficili da ricordare sono scritte. Lo stesso vale per le password che devono essere cambiate troppo spesso. La linea di fondo, dipende da cosa stai proteggendo e dalla tua base di utenti.

— Pierre-Luc Simard
fonte

3

La politica dovrebbe riflettere ciò per cui gli utenti utilizzano i computer, in che modo le informazioni sensibili vengono gestite dall'utente. Se si tratta solo di contenere le preferenze degli utenti, non è necessario che sia fortemente fortificato se tutto il resto è in atto per respingere gli attacchi. In caso contrario, avrei preferito infastidire gli utenti che si lamentavano di password complesse da ricordare.

Ho circa 20 password complesse nella mia testa in ogni momento, e ho iniziato a crearle usando i motivi sulla tastiera per ricordarle. Rende più semplice poiché ho solo bisogno di sapere il punto di partenza e quale tipo di modello da realizzare. Tutti odiano cambiare le password, ma questa tecnica mi permette di cambiarle facilmente e ricordarle, quindi la sicurezza è stretta ... almeno per me. Posso anche annotare una lettera su un pezzo di carta e ancora ricordare quale modello fare, e non ricordo davvero bene le cose. Se questo ha qualche utilità per chiunque comunque .. Non lo so.

Scrivere una password complessa senza offuscarla mi sembra proprio sbagliato. Se qualcuno sta cercando di irrompere fisicamente in un computer, puoi essere sicuro che cercherà qualche spia.

— La fata
fonte

1

Credo, quando ho lavorato per un istituto sanitario, che alcuni dei nostri requisiti provenivano dall'HIPAA. Non ho esaminato i registri SOX (che immagino di aderire ora nel mondo assicurativo), ma potrebbero avere un linguaggio simile come base per questo genere di cose.

Inoltre, se fai parte di un'organizzazione IT più grande (suddivisione in una società più grande), la società potrebbe avere regole che potrebbero essere rispettate.

La linea di fondo deve essere quella, qualunque sia la politica che viene implementata, deve essere benedetta dal senior management e preferibilmente scritta in una politica di sicurezza o IT di cui tutto il personale deve essere informato / aderire. Non deve essere draconiano (cambia password ogni 180 giorni, combinazione di alfa e numerici), ma dovrebbe essere una politica aziendale, quindi tutti sono chiari sul requisito.

— Milner
fonte

0

Sono stati dei buoni suggerimenti quindi aggiungerò questo:

Finché sei in grado di assicurarti di poter essere esente dalla politica ... Ho una buona memoria, quindi personalmente preferisco essere in grado di utilizzare una password di 18 caratteri che è ridicolmente complessa per 6 mesi o più di un uno semplice che devo cambiare una volta al mese.

Tieni presente che una password di 16 caratteri che utilizza solo lettere minuscole e maiuscole e spazi dà 53 ^ 16 combinazioni o 3.876 * 10 ^ 27, mentre le password di 10 caratteri che usano lettere minuscole e maiuscole, numeri e simboli danno solo 95 ^ 10 o 5.987 * 10 ^ 19.

— dave
fonte