Назад | Перейти на главную страницу

Как убедить аудиторов безопасности изменить политику частой смены паролей?

Я новый младший ИТ-менеджер в небольшой компании, в которой работает около 500 сотрудников, и в соответствии с действующей политикой в ​​отношении паролей срок действия пароля должен истекать в течение 30 дней с историей паролей 5.

Как вы понимаете, это приводит к тому, что у людей есть пароли вроде 16 января и тому подобное, пароли на стикерах на экранах бла-бла-бла ... Обычно, когда дело доходит до этих политик.

Насколько я могу судить, идеальным был бы пароль длиной 10 символов с заглавными буквами, маленькими буквами, цифрами и символами.

Поскольку я предполагаю, что здесь есть люди, которые являются аудиторами безопасности, а также другие, у которых есть гораздо больший опыт в этих вопросах, я прошу вас об этом.

Что я могу представить аудиторам, когда они придут в следующий раз, чтобы они позволили нам изменить политику истечения срока действия пароля на 1 год?

В первую очередь я бы предоставил им данные о сильных сторонах длинного и сложного пароля, а также данные из приложений для подбора пароля с помощью перебора в отношении того, сколько p / s они могут достичь с помощью современного оборудования, а также сценарий, который будет запускаться один раз в день, чтобы показать, есть ли какие-либо новые учетные записи в AD, которые были созданы для работы в качестве меры безопасности на случай, если кому-то удастся проникнуть в сеть и создать свою собственную учетную запись.

Мы будем очень благодарны за любую помощь.

Первое, что я хотел бы сделать, это выяснить, кто на самом деле устанавливает политику безопасности. Эта информация в руках, сядьте и поговорите с ними. Спросите, каковы цели политики безопасности, что можно от нее получить и как текущие политики достигают этой цели. Наиболее важной частью этого является то, что вы Слушать на их ответы.

Вероятно, есть более безопасные средства для достижения ваших целей. Во-первых, наличие большего количества символов превосходит требования к верхнему / нижнему / числовому / специальному символу. https://xkcd.com/936/ и https://www.explainxkcd.com/wiki/index.php/936:_Password_Strength грунтовки должно хватить.

Еще более безопасным является использование двухфакторной аутентификации вместо простых паролей.

Как уже упоминалось, частая смена пароля приведет к увеличению числа забытых / неправильно введенных паролей. Это проявится в увеличении количества обращений в службу поддержки, связанных с паролями, или в увеличении количества письменных или предсказуемых паролей.


Самая важная часть этого разговора - понять цели, понять, как текущая политика, как считается, соответствует этим целям, и как работать с участием ваших товарищей по команде (помните, это все одна компания ...), избегая конфронтации или оскорблений.