Политика разумных паролей

9

Мне было поручено составить политику безопасности компании. В рамках этого я хочу определить, что такое разумный, но безопасный пароль (длина, символы и т. Д.), Как часто их следует менять, длина истории паролей и так далее.

Очевидно, мне нужно сбалансировать безопасность с практичностью.

Что люди обычно считают хорошей политикой паролей?

Джон Хопкинс
источник

Ответы:

5

В Википедии есть хорошее резюме по этой теме.

Обычная практика паролей Политики паролей часто включают советы по правильному управлению паролями, такие как:

  • никогда не делить учетную запись компьютера
  • никогда не используйте один и тот же пароль для нескольких учетных записей
  • никогда не сообщать пароль никому, в том числе людям, которые утверждают, что из службы поддержки или безопасности
  • никогда не записывать пароль
  • никогда не сообщайте пароль по телефону, электронной почте или в мгновенных сообщениях
  • будьте осторожны при выходе из системы, прежде чем оставлять компьютер без присмотра
  • изменение паролей, когда есть подозрение, что они могли быть скомпрометированы
  • пароль операционной системы и пароли приложений разные
  • пароль должен быть буквенно-цифровым
  • делать пароли ПОЛНОСТЬЮ случайным, но легко запоминающимся

Предложения от ТУ Делфт :

Характеристики допустимых паролей

  • пароль содержит не менее восьми символов и
  • он содержит как минимум одну заглавную букву и
  • он содержит как минимум одну строчную букву и
  • он содержит хотя бы одну цифру или другой символ, например! @ # $% ^ & () {} [] <> ... и
  • это не термин в знакомом языке или жаргоне, и
  • оно не идентично или не получено из сопутствующего имени учетной записи, из личных характеристик или информации из своего семейного / социального круга, и
  • это легко запомнить, например, с помощью ключевого предложения, и
  • это может быть напечатано в бегло.

Лучшие практики для защиты паролей

  • избегать использования одного и того же пароля для работы и личной жизни;
  • рассматривайте все пароли как конфиденциальную информацию и не передавайте их в учетные записи коллег, членов семьи или других знакомых;
  • не разглашать пароли коллегам, своему начальнику или другим знакомым ни в обычных обстоятельствах, ни в случае отпуска или болезни;
  • не упоминайте пароль публично, по телефону или в незашифрованном виде;
  • никогда не записывайте пароль в свободно доступном месте;
  • не давайте никаких подсказок о мнемонике, используемой для запоминания вашего пароля;
  • никогда не предоставлять информацию о пароле в анкетах или формах безопасности;
  • если подозревается неправильное использование, сообщите об этом в охранную организацию и немедленно измените все задействованные пароли;
  • если кто-то хочет знать пароль, то направьте его к этой политике.
Иво Флипс
источник
3

С распространением кейлоггеров и фишинг-атак ваша организация должна рассмотреть альтернативы «надежным» паролям. См . Блог Брюса Шнайера о статье. Считают ли надежные веб-пароли что-нибудь?

Я настоятельно рекомендую использовать двухфакторную аутентификацию. Между футбольными мячами, SecureID и Yubikey очень просто и относительно недорого реализовать второй фактор аутентификации.

pcapademic
источник
2

Мне нравится Passwordsafe для отслеживания паролей.

Мои предложения:

  • Поощряйте пароли, а не слова. Бессмысленная фраза, состоящая из 3-4 слов, легче запомнить, чем 8 искаженных символов.

  • Установите разумный максимальный срок службы. От 3 до 6 месяцев

  • Не надейтесь на 1337, чтобы защитить пароль. Злоумышленники, использующие словарь грубой силы, такие как Crack , делают изменения букв -> чисел в течение почти 20 лет. Но требуют букв, цифр, прописных и строчных букв и знаков препинания.

  • Не полагайтесь на неанглийские слова слова для безопасности. Любой дурак может загрузить несколько словарей в программу. Неважно, говорит он на языке или нет.

PGS
источник
+1 за безопасный пароль. На самом деле я не знаю большинство своих паролей, и все они разные, даже все случайные интернет-магазины.
RBerteig
Хорошее напоминание о том, что простая замена числа / буквы не является хорошей защитой. Полагаю, словарные взломы вполне устраивают людей, просто добавляющих цифры?
Джон Хопкинс
@Tyrannosaurs: если это может быть автоматизировано, вы можете поспорить, что кто-то попробовал это. Словарные атаки медленные, но легко распараллеливаются. Представьте себе пароли, атакующие бот-сеть.
pgs
Я думаю, что хороший вопрос здесь: должны ли менеджеры паролей быть частью политики безопасности компании? Должны ли обычные пользователи (за исключением, вероятно, из ИТ) иметь менеджеров паролей на своих рабочих станциях?
Isxek
У меня лично нет проблем с этим. Я могу сбросить пароли на любой машине, с которой я работаю, и другие машины не являются моей проблемой. Конечно, единый вход и правильно управляемые разрешения лучше, чем несколько паролей и менеджер паролей.
pgs
2

Для личных вещей я использую

  • Для важных вещей; GMail, веб-хостинг, онлайн-банкинг - другой 16-разрядный случайным образом сгенерированный (A-Za-z0-9), хранящийся в DB KeePass на DropBox, зашифрованный сложной, но легко запоминающейся парольной фразой. Возможно, немного переусердствовал, но это не слишком хлопотно.
  • Для обычных, менее важных вещей - форумов, учетных записей, не связанных с деньгами и т. Д., Я использую набор более простых паролей.
Том
источник
1

Вам нужно выбрать «разумную» частоту для того, как часто они должны быть изменены. Слишком быстро, и люди будут вырождаться <old_password>+<number>(или что-то подобное), так медленно, и вы увеличиваете риск взлома пароля. Возможно, стоит выяснить, есть ли правило, которое вы можете установить для защиты от этого.

Точно так же вам нужно иметь правило, которое гласит, что пароль не может быть повторно использован для такого большого количества изменений (возможно, 10), чтобы люди не просто обменивались двумя (или тремя) паролями для своей учетной записи.

Сделайте пароль хотя бы буквенно-цифровым с хотя бы одной заглавной буквой. Чтобы сделать его немного более безопасным, добавьте, что должен быть хотя бы один не алфавитно-цифровой символ.

ChrisF
источник
1

У вас может быть что-то вроде генератора паролей вроде SuperGenPass . Таким образом, у них может быть слабый пароль, но сгенерированная строка будет очень сильной. Но это было бы больше для входа на сайт.

Другие варианты будут:

  1. Используйте 1337 говорить в паролях.
  2. Используйте фазы с пунктуацией, например, Это очень длинный пароль!
  3. Присоединяйтесь к двум [Th1s, это v3ry v3ry l0ng p4ssw0rd!]

Стивен
источник
SuperGenPass не так, чтобы вы могли иметь слабый мастер-пароль, просто вам нужно запомнить только один надежный. Это важное различие.
itadok
Нет оснований полагать, что замена чисел на гласные обеспечит какую-либо защиту.
Крис Берджесс
1

В пятницу мне пришлось сменить пароль на сайте клиента. Правила у них смешные. Все они стандартные, должны иметь заглавные буквы, пунктуацию, минимальную длину и т. Д., А также.

  • Первый символ не может быть символом пунктуации.
  • Нет словарных слов.
  • Один и тот же символ нельзя использовать дважды.

Проблема в том, что они настолько сложны, что найти их практически невозможно, особенно потому, что в сообщении об ошибке не указаны дополнительные требования, которые у них есть.

Я позвонил в службу поддержки, и они сказали, просто используйте такой как Pa5word # (не реальный пароль), а затем продолжайте увеличивать число ....

Я нахожу эти системы совершенно сумасшедшими, поскольку они мешают вам использовать парольные фразы, например «thisismypasswordforjanurary» очень легко запомнить и очень безопасны, но большинство систем не допускают такие типы парольных фраз.

Поэтому я бы проголосовал за минимальную длину, скажем 15-20 символов, чтобы люди не могли просто использовать слова, а пароли в стиле l33t не требуются.

Что бы вы ни выбрали, я бы позаботился о том, чтобы вы задокументировали, какие существуют ограничения и почему они существуют, и приведите несколько примеров для пользователей, которые помогут им создать безопасные.

Брюс Маклеод
источник
Это часто встречается в военных системах: вам нужно менять пароль каждый месяц, и вы не можете использовать последние 12 паролей. В результате люди просто ставят число или дату в конце простых паролей
Мартин Беккет
1

Большинство участников здесь сразу предлагают политику. Который отвечает на вопрос, так что это хорошо. Но, на мой взгляд, вы должны сначала спросить себя: насколько важна информация, которую вы защищаете?

Например, политика паролей Министерства обороны для защиты конфиденциальной информации, вероятно, будет сильно отличаться от политики, которую вы будете использовать для одноразовых учетных записей электронной почты.

Марк ван Лент
источник
1

Укороченная версия:

Административная часть меня говорит 12-16-символьные пароли с прописными и строчными буквами и цифрами. Также должна иметь произвольную текстовую часть, которой нет ни в одном словаре. Должно быть достаточно, чтобы предотвратить сетевые атаки методом перебора.

Как пользователь, мне нравятся пароли, которые легко запомнить, хотя они могут быть длинными (16 символов и выше). Как только я запомнил это, я могу напечатать это достаточно быстро. Возможно, вместо того, чтобы просто применять политику, вы должны найти умные способы научить своих пользователей выбирать безопасные и легко запоминающиеся пароли, а не просто случайную комбинацию символов.

Saulius maemaitaitis
источник