Politica password sensibile

Mi è stato assegnato il compito di mettere insieme la politica di sicurezza dell'azienda. Come parte di questo voglio definire cosa è una password ragionevole ma sicura (lunghezza, caratteri ecc.), Quanto spesso devono essere cambiati, lunghezza della cronologia delle password e così via.

Ovviamente devo bilanciare la sicurezza con la praticità.

Cosa considerano le persone generalmente una buona politica di password?

Wikipedia ha un bel riassunto su questo argomento

Pratica comune delle password Le politiche relative alle password spesso includono consigli sulla corretta gestione delle password come:

• mai condividere un account del computer
• non usare mai la stessa password per più di un account
• non dire mai una password a nessuno, comprese le persone che dichiarano di provenire dal servizio clienti o dalla sicurezza
• mai scrivere una password
• mai comunicare una password per telefono, e-mail o messaggistica istantanea
• facendo attenzione a disconnettersi prima di lasciare un computer incustodito
• cambiare password ogni volta che si sospetta che possano essere state compromesse
• password del sistema operativo e password dell'applicazione sono diverse
• la password deve essere alfanumerica
• rendere le password COMPLETAMENTE casuali ma facili da ricordare

Suggerimenti di TU Delft :

Caratteristiche di password accettabili

• una password contiene almeno otto caratteri e
• contiene almeno una lettera maiuscola e
• contiene almeno una lettera minuscola e
• contiene almeno una cifra o un altro carattere come! @ # $% ^ & () {} [] <> ... e
• non è un termine in un linguaggio o gergo familiare, e
• non è identico o derivato dal nome dell'account di accompagnamento, dalle caratteristiche personali o dalle informazioni della propria cerchia familiare / sociale e
• è facile da ricordare, ad esempio mediante una frase chiave, e
• può essere digitato fluentemente.

Best practice per la protezione delle password

• evitare l'uso della stessa password per lavoro e vita privata;
• considerare tutte le password come informazioni riservate e non condividerle con gli account di colleghi, familiari o altri conoscenti;
• non rivelare le password ai colleghi, al proprio capo o ad altri conoscenti, né in circostanze normali né in caso di congedo o malattia;
• non menzionare alcuna password in pubblico, per telefono o in comunicazione non crittografata;
• non annotare mai una password in una posizione liberamente accessibile;
• non dare alcun suggerimento sul mnemonico usato per ricordare la tua password;
• non fornire mai informazioni su una password in questionari o moduli di sicurezza;
• se si sospetta un uso improprio, segnalarlo all'organizzazione della sicurezza e modificare immediatamente tutte le password interessate;
• se qualcuno vuole conoscere una password, allora riferiscilo a questa politica.

Con la proliferazione di keylogger e attacchi di phishing, potrebbe essere necessario che la tua organizzazione consideri alternative a password "forti". Vedi il blog di Bruce Schneier sulla carta Do password complesse web realizzare qualcosa?

Consiglio vivamente di utilizzare l'autenticazione a due fattori. Tra i palloni da calcio, SecureID e Yubikey , è molto semplice e relativamente economico implementare un secondo fattore di autenticazione.

Mi piace Passwordsafe per tenere traccia delle password.

I miei suggerimenti:

• Incoraggia le passphrase, non le parole. Una frase senza senso composta da 3-4 parole è più facile da ricordare di 8 caratteri confusi.

• Impostare una durata massima ragionevole. Da 3 a 6 mesi.

• Non fare affidamento su 1337 parlare per proteggere una password. Gli attaccanti del dizionario della forza bruta come Crack hanno fatto cambiamenti di lettere e numeri per quasi 20 anni. Ma richiedono lettere, numeri, lettere maiuscole e minuscole e punteggiatura.

• Non fare affidamento su parole non inglesi per motivi di sicurezza. Ogni pazzo può caricare più dizionari in un programma. Non importa se parla la lingua o no.

Per cose personali che uso

• Per cose importanti; GMail, Web Host, Online Banking - un diverso generato in modo casuale a 16 bit (A-Za-z0-9) memorizzato in un DB KeePass su DropBox crittografato con una passphrase complessa ma facilmente ricordabile. Forse un po 'troppo zelante ma non è una seccatura extra.
• Per cose comuni e meno importanti - forum, account non relativi al denaro, ecc., Utilizzo una serie di password più semplici.

Devi scegliere una frequenza "sensibile" per quanto spesso dovrebbero essere cambiati. Troppo rapidamente e le persone degenereranno in <old_password>+<number>(o qualcosa di simile), così lentamente e aumenterai il rischio che la password venga compromessa. Potrebbe valere la pena indagare se esiste una regola che puoi impostare per proteggerti da questo.

Allo stesso modo devi avere una regola che dice che una password non può essere riutilizzata per così tante modifiche (forse 10) in modo che le persone non si limitino a scambiare tra due (o tre) password per il loro account.

Rendere la password almeno alfanumerica con almeno una maiuscola. Per renderlo leggermente più sicuro, aggiungi che deve esserci almeno un carattere non alfanumerico.

Potresti avere qualcosa come un generatore di password come SuperGenPass . Quindi potrebbero avere una password debole ma la stringa generata sarebbe estremamente forte. Ma questo sarebbe più per gli accessi al sito web.

Altre opzioni sarebbero:

1. Usa 1337 parlare con password.
2. Utilizzare le fasi con punteggiatura, ad es. Questa è una password molto lunga!
3. Unisciti ai due [Th1s, è un v3ry v3ry l0ng p4ssw0rd!]

Venerdì ho dovuto cambiare la mia password sul sito del mio cliente. Le regole che hanno sono ridicole. Sono tutti quelli standard che devono avere maiuscole, punteggiatura, lunghezza minima, ecc.

• Il primo carattere non può essere un carattere di punteggiatura.
• Nessuna parola nel dizionario.
• Lo stesso personaggio non può essere usato due volte.

Il problema è che sono così complessi che è quasi impossibile trovarne uno, soprattutto perché il messaggio di errore non indica i requisiti aggiuntivi che hanno.

Ho chiamato l'help desk e mi hanno detto, basta usare uno come questo Pa5word # (non la vera password) e quindi continuare ad aumentare il numero ....

Trovo questi sistemi completamente pazzi perché ti impediscono di usare passphrase, ad esempio "thisismypasswordforjanurary" è molto facile da ricordare e molto sicuro, ma la maggior parte dei sistemi non consente questi tipi di passphrase.

Quindi voterei per una lunghezza minima elevata, direi 15-20 caratteri in questo modo le persone non possono semplicemente usare le parole e non sono richieste password in stile l33t.

Qualunque cosa tu scelga, vorrei assicurarti di documentare quali sono le restrizioni e perché sono lì e alcuni esempi per gli utenti per aiutarli a generare quelle sicure.

La maggior parte dei pescatori qui vanno direttamente a suggerire politiche. Il che risponde alla domanda, quindi va bene. Ma secondo me è necessario porsi questa domanda: quanto sono importanti le informazioni che stai proteggendo?

Ad esempio, la politica delle password per il dipartimento della difesa per proteggere le informazioni riservate sarà probabilmente molto diversa dalla politica che userete per gli account di posta elettronica usa e getta.

Versione breve:

La parte admin di me dice password di 12-16 caratteri con lettere e numeri sia minuscoli che maiuscoli. Inoltre dovrebbe avere una parte di testo casuale che non sia presente in nessun dizionario. Dovrebbe essere sufficiente per prevenire attacchi di forza bruta basati sulla rete.

Come utente mi piacciono le password facili da ricordare, anche se potrebbero essere lunghe (16 caratteri e oltre). Una volta memorizzato, posso scriverlo abbastanza velocemente. Forse invece di applicare solo una politica, dovresti trovare modi intelligenti per insegnare ai tuoi utenti a scegliere password sicure e facilmente memorizzabili, non solo un pezzo casuale di personaggi.