Назад | Перейти на главную страницу

Изменение политики паролей Windows

В настоящее время в нашем домене Windows AD есть почти стандартный стандарт, требующий сложных паролей. Но этот мультфильм XKCD привлек мое внимание несколько месяцев назад, когда он появился на Coding Horror (я думаю):

http://xkcd.com/936/

Кто-нибудь изменил свою политику паролей таким образом, т.е. требовать длинную фразу, а не более короткую с не-альфа-символами? Если да, были ли у вас проблемы с аудитами сторонними организациями? Наши фармацевтические клиенты часто проверяют нас, и я не уверен, что они согласятся на это.

Для меня это имеет большой смысл - особенно когда обнаруживаешь записанные пароли, потому что их невозможно запомнить.

Да. Вы столкнетесь с проблемами при проведении аудитов PCI и федеральных аудитов, если у вас есть федеральные заказчики и другие типы аудиторов.

Несмотря на то, что легко запоминающийся пароль длиной 32 символа может быть технически более безопасным, аудиторов это не волнует - у них просто есть политики, требующие определенных требований к сложности пароля, и они примут участие в вашем случае, если вы отклонитесь.

Например, в моей компании есть аудитор, который прямо предписывает использовать стандартные стандартные требования к сложности пароля Active Directory (2008R2). Эти требования к сложности пароля включают заглавные буквы, специальные символы и т. Д.

edit: Тем временем, пока не произойдет изменение парадигмы сложности паролей, поощряйте ваших пользователей использовать хорошую программу управления паролями, такую ​​как KeePass или LastPass или что-то еще.

Правильно написанное предложение передает пароль Windows AD Настройка сложности. «Я люблю свою собаку Барни». имеет три типа символов, чего хочет Windows (по крайней мере). Очевидно, он соответствует требованиям к длине. Таким образом, «парольные фразы» могут легко соответствовать политике паролей AD.

Вы не можете технически обеспечить соблюдение парольных фраз, так что это действительно изменение культуры, за которое вы должны выступать со своими пользователями. Разошлите им информационные электронные письма, обучая их тому, как использовать парольные фразы и пароли, а затем скажите им, что вы собираетесь увеличить минимальное значение до 10, но они могут использовать парольные фразы, чтобы облегчить жизнь ... просто в качестве примера .

Эта дискуссия не ново и я был продан на них в 2004 году Джейсон Фоссен славы SANS с прекрасным Таблица анализа взлома паролей.