У меня есть домен Windows, которому нужна политика паролей. Прямо сейчас его нет. У кого-нибудь есть отзывы о хорошем балансе между слабыми паролями и пользователями, у которых пароли настолько сильны, что их просто записывают?
Поскольку ни у кого нет пароля с истекающим сроком действия, я подумал, что могу постепенно вводить пользователей, удалив свойство «Пароль никогда не истекает» из их учетных записей. Таким образом, я (и служба поддержки) не будут так забиты вопросами / сбросом пароля. Есть отзывы?
Национальный институт стандартов и технологий (NIST) имеет некоторые хорошие публикации на темы компьютерной безопасности. Это отличные ресурсы ... публикация, которую вы ищете, - это специальная публикация NIST 800-53. (Поверьте, это не так плохо, как кажется)
IMO политика паролей должна быть примерно такой:
Ссылка на duffbeer703 хорошая. Существуют некоторые технические причины для определенных ограничений пароля и минимальных требований. Вам особенно необходимо изучить эти ограничения, если вы не находитесь в полностью однородной среде.
Как бы то ни было, правило группы «8 символов, три из четырех» является довольно стандартным. Что я лично делаю, так это обучаю своих пользователей создавать пароли вместо паролей. Это значительно упрощает придумывание паролей, и они не тратят много времени, пытаясь выяснить, как работать со всеми этими требованиями к символам. Пароль типа "Солнечно. Ура!" достаточно легко придумать и запомнить.
Однако у этого подхода есть проблема, если люди используют правильную грамматику английского языка при написании парольных фраз и тем самым несколько ограничивают общее количество возможных комбинаций. То есть пароль, который всегда начинается с заглавной буквы и заканчивается точкой, не является более сильным только потому, что он содержит заглавную букву и точку, он слабее, потому что мы можем угадать это заранее.
Другие стандартные правила домена Windows подходят, IMO, за исключением того, что мне нужно менять пароль только раз в квартал. Лично меня не интересует идея истечения срока действия пароля. Даже тридцать дней - это вечность, если аккаунт скомпрометирован. Как бы то ни было, люди сильно злятся, когда им приходится менять пароль.
Поскольку даже эксперты по безопасности не могут прийти к согласию относительно хорошей золотой середины по поводу всего, что связано с паролями, я говорю, что большинство советов по любой крайности просто глупо, если только вы специально не находитесь в ситуации с высоким уровнем безопасности. Что я считаю наиболее важным и с чем у меня действительно подписываются пользователи, так это утверждение, подобное следующему: «НИКОГДА НЕ ПРЕДОСТАВЛЯЙТЕ СВОЙ ПАРОЛЬ НИКОМУ. Меня не волнует, кто ОНИ ИЛИ ПОЧЕМУ ИМ НУЖНО ПОЛУЧИТЬ НА ВАШ КОМПЬЮТЕР. КОГДА ВЫ В ОТПУСКЕ. ЗАЩИТА ПАРОЛЯ - ВАША ОТВЕТСТВЕННОСТЬ ". Из того, что я видел, самое большое злоупотребление учетными записями происходит от людей, которые обмениваются паролями. Все остальные 133-х хакерские хакерские штуки едва ли беспокоят обычный старый бизнес.
Помните, что чем жестче ваша политика, тем чаще к вам будут обращаться пользователи, которым требуется разблокировать учетные записи или сбросить пароли. Чем меньше ограничений ваша политика, тем большему риску вы подвергаете свою организацию.
По умолчанию вы не можете определить, как сложный политика паролей домена есть (как минимум до 2003). Есть способы и средства изменить правила, но, насколько я понимаю, это исключительно запутано и не для ловкости сердца. Другими словами, вы не можете решить, хотите ли вы, чтобы ваши пароли пользователей были 3 заглавными, 2 специальными, 2 числовыми и т. Д.
Вот что будет установлено, когда вы включить то Пароль должен соответствовать требованиям сложности настройка в групповой политике Домена по умолчанию:
Пароль должен соответствовать требованиям сложности.
Этот параметр безопасности определяет, должны ли пароли соответствовать требованиям сложности. Если эта политика включена, пароли должны соответствовать следующим минимальным требованиям:
Не содержать имя учетной записи пользователя или части полного имени пользователя, длина которых превышает два последовательных символа. Длина не менее шести символов.
Содержат персонажей трех из следующих четырех категорий:
Заглавные буквы английского алфавита (от A до Z)
Английские строчные буквы (от a> до z)
Базовые 10 цифр (от 0 до> 9)
Неалфавитные символы (например,!, $, #,%)
Требования сложности применяются при изменении или создании паролей.
Что ты жестяная банка набор однако:
Во всех наших доменах мы используем сложность, минимум 8 символов, минимальный возраст 14 дней, максимальный возраст 90 дней, историю паролей 14, недопустимые попытки входа 5, продолжительность блокировки 30 минут
Публикация Nist в порядке, политика паролей вашего домена не так важна, как обучение пользователей тому, чтобы они не сообщали свои пароли. Нет ничего принципиально неправильного в неиспользуемом пароле, если он не прикреплен к их клавиатуре, и они не передают его. В принципе, любые параметры, которые вы устанавливаете, подойдут, две главные вещи, о которых нужно подумать:
порог блокировки учетной записи (недопустимые попытки входа) продолжительность блокировки учетной записи
Что это ограничивает, так это возможность людей использовать грубую силу для вашей безопасности. Я обычно рекомендую порог 5 и продолжительность 2 часа, но это, безусловно, зависит от ситуации. Как заметил Боден, даже эксперты по безопасности не могут прийти к единому мнению о том, что такое безопасная политика паролей. Фактически я бы реализовал изоляция сервера и домена прежде чем я буду беспокоиться о моей политике паролей. В этот момент я дам вам свой пароль - вы все еще не попадаете в мои ресурсы.
Что ж, вы знаете своих пользователей лучше всего, поэтому, если вы думаете, что срок действия паролей - это лучший способ, тогда сделайте это. Это такой же хороший вариант, как и любой другой.
Что касается политики паролей, это всегда компромисс между идеальной безопасностью (например, длиной 13 символов, 4 заглавных буквы, 2 символа, 3 цифры, остальные строчные буквы) и идеальным удобством (то есть никакой политики вообще ... автоматический вход). По сути, если вы зайдете слишком далеко в вопросах безопасности, вы найдете людей, чьи пароли прикреплены к нижней части их клавиатур или на посту рядом с их монитором, а если вы зайдете слишком далеко в сторону удобства, вы получите плохую безопасность и легко угадываемые пароли.
Для нашей организации нам необходим пароль из 7 символов, минимум с 1 цифрой, 1 заглавной и 1 строчной буквой (символ может использоваться для любых требований). Похоже, что это хорошо работает для наших пользователей и не вызывает возражений с их стороны. Удачи, Надеюсь это поможет.
Некоторые рекомендации с мест :)
Научите пользователей использовать более длинный пароль лучше, даже если он несложный. (проверенное исследование показывает, что небольшой пароль с высокой сложностью взламывается быстрее, чем более длинные и простые пароли)
Срок действия пароля должен быть кратен 7, например, 28, 42, 91. Это гарантирует, что периодические сбросы пароля после истечения срока действия будут равномерно распределены по рабочим дням. Это важно, когда у вас тысячи учетных записей. например Если вы сбросили пароль в понедельник, следующий срок действия пароля истечет только в понедельник.
Соблюдайте разумную политику блокировки учетной записи. начните с чего-нибудь умеренного, а затем отслеживайте соответствующие звонки в службу поддержки и настраивайте политику блокировки по мере необходимости. например слишком много вызовов, то немного ослабьте политику блокировки.
Если возможно, купите продукт самообслуживания с паролями, чтобы пользователи могли сами сбросить пароль или разблокировать свои учетные записи. (Здесь связаны примерно от 30% до 40% обращений в службу поддержки)
Наконец, используйте инструмент для взлома паролей, чтобы периодически проверять надежность пароля, установленного людьми, и предупреждать людей с очень простыми паролями, чтобы они выбирали лучший. Помните, что хакерам достаточно одной учетной записи, чтобы войти в вашу сеть.
Одна важная вещь, которую нужно запомнить, когда пароль никогда не истекает. После того, как вы введете в действие политику паролей, если срок действия пароля истек на основе последнего изменения, как только вы отключите этот флаг, срок действия пароля истечет. Поэтому вам нужно предупредить пользователей об этом факте.
Раньше Microsoft рекомендовала высокий уровень безопасности для Windows Server 2003:
Однако это не устраивало одиторов, с которыми я общался. Самый снисходительный, которого я видел, требовал 24-часовой разблокировки и не более 10 отказов за 24-часовой период с истечением 60 дней. Наименее снисходительным, что я видел, является отсутствие автоматической разблокировки с не более чем 3 сбоями в течение 24 часов с истечением 30 дней. Все они соответствовали минимальной длине символов 8, с включенной сложностью и запоминанием полных 24 паролей.
Вместо паролей вы можете использовать парольные фразы. Что-то вроде "Почему пароли такие сложные?" может быть пароль.
да, я согласен с адам-бренд и обнаружил, что это работает на практике, что-то, что можно рекламировать вашим пользователям, может быть этим комиксом XKCD: