Есть ли у кого-нибудь ресурсы для определения разумной политики паролей для моих пользователей? Лично я склоняюсь к тому, чтобы повысить сложность паролей и позволить им менять их реже в качестве компромисса. Кажется, что мой средний пользователь имеет более высокую терпимость к смешиванию некоторых чисел и специальных символов, чем 5 или 10 лет назад.
Я ищу практические правила и / или ресурсы, которые я могу использовать для резервного копирования предложенных мной изменений политики. Или даже анекдотическую информацию от более опытных людей.
(Я далек от гуру безопасности, поэтому, если это слишком расплывчато, давайте сузим вопрос, применив его только к паролям внутренней сети Windows, хотя мне было бы интересно, что люди делают с точки зрения VPN и Интернета. политика обслуживания)
В современном мире случайных атак методом перебора паролей я склонен согласиться с утверждением, что: записанный хороший пароль лучше, чем запомненный пароль, который легко угадать
Вот хорошее сравнение надежности пароля:
Вы поступаете правильно, учитывая то, с чем ваши пользователи готовы работать. Если вы используете очень сложные пароли, которые необходимо часто менять, вы обнаружите, что потребление заметок резко возрастет.
В эту тему есть разумный вклад от Джин Спаффорд в Purdue's CERIAS. Вот частичная цитата:
Так откуда же взялось изречение «менять пароли раз в месяц»? В те дни, когда люди использовали мэйнфреймы без сети, самой большой проблемой неконтролируемой аутентификации был взлом. Однако ресурсы были ограничены. Насколько я могу судить, некоторые подрядчики Министерства обороны провели предварительные расчеты о том, сколько времени потребуется, чтобы перебрать все возможные пароли с помощью своего мэйнфрейма, и результат составил несколько месяцев. Таким образом, они (несколько разумно) установили период смены пароля в 1 месяц, чтобы предотвратить систематические попытки взлома. Затем это было закреплено в политике, которая была опубликована и на протяжении многих лет широко принималась другими. Шло время, аудиторы начали искать это и в конечном итоге включили это в свои «лучшие практики», которых они ожидали. Он также был записан в несколько списков рекомендаций по безопасности.
И это НЕСМОТРЯ на то, что любой разумный анализ показывает, что ежемесячная смена пароля практически не влияет на повышение безопасности!
Это «лучшая практика», основанная на опыте 30-летней давности с несетевыми мэйнфреймами в среде Министерства обороны - вряд ли она может сравниться с сегодняшними системами, особенно в академических кругах!
Я гораздо больше сторонник более длинных паролей (что, на самом деле, означает, что, как и в фразах из нескольких слов, вы собираетесь их запомнить), вместо того, чтобы смешивать слова и числа. Если вы заставляете людей складывать числа, они с большей вероятностью будут делать простые вещи, например заменять i на 1 и т. Д., Что не принесет вам особой безопасности.
О политиках паролей есть масса материалов. Рекомендую взглянуть на
Теперь нужно сказать кое-что о работоспособность пароля. Дело в том, что трудно запомнить пароли записываются. То же самое и с паролями, которые нужно менять слишком часто. Суть в том, что это зависит от того, что вы защищаете, и вашей пользовательской базы.
Политика должна отражать, для чего пользователи используют компьютеры, как конфиденциальную информацию пользователь обрабатывает на нем. Если он просто для того, чтобы содержать предпочтения пользователей, вам действительно не нужно его сильно укреплять, если есть все остальное для отражения атак. Если все обстоит наоборот, я бы предпочел раздражать пользователей жалобами на сложные пароли, которые нужно запомнить.
У меня в голове постоянно находится около 20 сложных паролей, и я начал создавать их, используя шаблоны на клавиатуре, чтобы запоминать их. Это облегчает задачу, поскольку мне нужно знать только начальную точку и какой узор сделать. Все ненавидят менять пароли, но этот метод позволяет мне легко их менять и запоминать, так что безопасность жесткая ... по крайней мере, для меня. Я даже могу записать одну букву на листе бумаги и все еще вспомнить, какой узор сделать, и я не очень хорошо помню вещи. Однако если это кому-то пригодится ... Я не знаю.
Мне кажется неправильным писать сложный пароль, не запутывая его. Если кто-то пытается физически взломать компьютер, будьте уверены, он будет искать какой-нибудь контрольный сигнал.
Я считаю, что когда я работал в медицинском учреждении, некоторые из наших требований исходили из HIPAA. Я не смотрел на регламенты SOX (которых, я полагаю, теперь я придерживаюсь в мире страхования), но они могут иметь какой-то похожий язык в качестве основы для такого рода вещей.
Кроме того, если вы являетесь частью более крупной ИТ-организации (подразделения в более крупной корпорации), у корпорации могут быть правила, которых можно придерживаться.
Практический результат должен заключаться в том, что независимо от того, какая политика будет реализована, она должна быть одобрена высшим руководством и предпочтительно записана в политике безопасности или ИТ, о которой все сотрудники должны знать / соблюдать. Это не обязательно должно быть драконовским (смена пароля каждые 180 дней, комбинация букв и цифр), но это должна быть политика компании, чтобы все четко понимали требования.
Было несколько хороших предложений, поэтому я просто добавлю следующее:
Пока вы можете быть уверены, что можете быть освобождены от действия политики ... У меня хорошая память, поэтому лично я предпочитаю иметь возможность использовать 18-значный пароль, который до смешного сложен в течение 6 месяцев или более, чем простой, который я должен менять раз в месяц.
Имейте в виду, что 16-значный пароль, в котором используются только строчные и прописные буквы и пробелы, дает 53 ^ 16 комбинаций или 3,876 * 10 ^ 27, тогда как пароли из 10 символов, в которых используются строчные и прописные буквы, цифры и символы, дают только 95 ^ 10 или 5,987. * 10 ^ 19.