Политика разумных паролей

Question

Мне было поручено составить политику безопасности компании. В рамках этого я хочу определить, что такое разумный, но безопасный пароль (длина, символы и т.д.), Как часто их следует менять, длина истории паролей и так далее.

Очевидно, мне нужно сбалансировать безопасность с практичностью.

Что люди обычно считают хорошей парольной политикой?

Answer 1

В Википедии есть хорошее резюме по этой теме.

Обычная практика паролей Политики паролей часто включают советы по правильному управлению паролями, такие как:

• никогда не делить учетную запись компьютера
• никогда не используйте один и тот же пароль для нескольких учетных записей
• никогда не сообщать пароль никому, в том числе людям, которые утверждают, что из службы поддержки или безопасности
• никогда не записывать пароль
• никогда не сообщайте пароль по телефону, электронной почте или в мгновенных сообщениях
• будьте осторожны, чтобы выйти из системы, прежде чем оставлять компьютер без присмотра
• изменение паролей, когда есть подозрение, что они могли быть скомпрометированы
• пароль операционной системы и пароли приложений разные
• пароль должен быть буквенно-цифровым
• делать пароли ПОЛНОСТЬЮ случайным, но легко запоминающимся

Предложения от ТУ Делфт:

Характеристики допустимых паролей

• пароль содержит не менее восьми символов и
• он содержит как минимум одну заглавную букву и
• он содержит как минимум одну строчную букву и
• он содержит как минимум одну цифру или другой символ, такой как!@ # $% ^ &(){} [] <> ... и
• это не термин в знакомом языке или жаргоне, и
• он не идентичен или не связан с именем сопровождающего аккаунта, личными характеристиками или информацией из семейного / социального круга, а также
• это легко запомнить, например, с помощью ключевого предложения, и
• это может быть напечатано в бегло.

Лучшие практики для защиты паролей

• избегать использования одного и того же пароля для работы и личной жизни;
• расценивать все пароли как конфиденциальную информацию и не делиться ими с учетными записями коллег, членов семьи или других знакомых;
• не разглашать пароли коллегам, своему начальнику или другим знакомым ни в обычных обстоятельствах, ни в случае отпуска или болезни;
• не упоминайте пароль публично, по телефону или в незашифрованном виде;
• никогда не записывайте пароль в свободно доступном месте;
• не давайте никаких подсказок о мнемонике, используемой для запоминания вашего пароля;
• никогда не предоставлять информацию о пароле в анкетах или формах безопасности;
• если подозревается неправильное использование, сообщите об этом в организацию безопасности и немедленно измените все задействованные пароли;
• если кто-то хочет знать пароль, то направьте его к этой политике.

Answer 2

С распространением кейлоггеров и фишинг-атак ваша организация может подумать об альтернативах "надежным" паролям. См . Блог Брюса Шнайера о статье. Считают ли надежные веб-пароли что-нибудь?

Я настоятельно рекомендую использовать двухфакторную аутентификацию. Между футбольными мячами, SecureID и Yubikey очень просто и относительно недорого реализовать второй фактор аутентификации.

Answer 3

Мне нравится Passwordsafe для отслеживания паролей.

Мои предложения:

• Поощряйте пароли, а не слова. Бессмысленная фраза, состоящая из 3-4 слов, легче запомнить, чем 8 искаженных символов.

• Установите разумный максимальный срок службы. От 3 до 6 месяцев

• Не полагайтесь на 1337, чтобы защитить пароль. Злоумышленники, использующие словарь грубой силы, такие как Crack , делают изменения букв -> чисел в течение почти 20 лет. Но требуют букв, цифр, прописных и строчных букв и знаков препинания.

• Не полагайтесь на неанглийские слова слова для безопасности. Любой дурак может загрузить несколько словарей в программу. Не имеет значения, говорит ли он на языке или нет.

Answer 4

Для личных вещей я использую

• Для важных вещей; GMail, веб-хостинг, онлайн-банкинг - другой 16-битный случайным образом сгенерированный (A-Za-z0-9), хранящийся в DB KeePass на DropBox, зашифрованный сложной, но легко запоминающейся парольной фразой. Возможно, немного переусердствовал, но это не слишком хлопотно.
• Для обычных, менее важных вещей - форумов, учетных записей, не связанных с деньгами и т.д., Я использую набор более простых паролей.

Answer 5

Вам нужно выбрать "разумную" частоту для того, как часто они должны быть изменены. Слишком быстро и люди выродятся в <old_password>+<number> (или что-то подобное), так медленно, и вы увеличите риск взлома пароля. Возможно, стоит выяснить, есть ли правило, которое вы можете установить для защиты от этого.

Точно так же вам нужно иметь правило, которое гласит, что пароль не может быть повторно использован для такого большого количества изменений (возможно, 10), чтобы люди не просто менялись двумя (или тремя) паролями для своей учетной записи.

Сделайте пароль хотя бы буквенно-цифровым с хотя бы одной заглавной буквой. Чтобы сделать его немного более безопасным, добавьте, что должен быть хотя бы один не алфавитно-цифровой символ.

Answer 6

Вы могли бы иметь что-то вроде генератора паролей, как SuperGenPass. Таким образом, они могут иметь слабый пароль, но сгенерированная строка будет очень сильной. Но это было бы больше для входа на сайт.

Другие варианты будут:

1. Используйте 1337 говорить в паролях.
2. Используйте фазы с пунктуацией, например. Это очень длинный пароль!
3. Присоединяйтесь к двум [Th1s, это v3ry v3ry l0ng p4ssw0rd!]

Answer 7

Укороченная версия:

Административная часть меня говорит 12-16-символьные пароли с прописными и заглавными буквами и цифрами. Также должна иметь произвольную текстовую часть, которой нет ни в одном словаре. Должно быть достаточным для предотвращения сетевых атак методом перебора.

Как пользователь, мне нравятся пароли, которые легко запомнить, хотя они могут быть длинными (16 символов и выше). Как только я запомнил это, я могу напечатать это достаточно быстро. Возможно, вместо того, чтобы просто применять политику, вы должны найти умные способы научить своих пользователей выбирать безопасные и легко запоминающиеся пароли, а не просто случайную комбинацию символов.

Answer 8

В пятницу мне пришлось сменить пароль на сайте клиента. У них смешные правила. Все они стандартные, должны иметь заглавные буквы, пунктуацию, минимальную длину и т.д., А также.

• Первый символ не может быть символом пунктуации.
• Нет словарных слов.
• Один и тот же символ нельзя использовать дважды.

Проблема в том, что они настолько сложны, что найти их практически невозможно, особенно потому, что в сообщении об ошибке не указаны дополнительные требования, которые у них есть.

Я позвонил в службу поддержки, и они сказали, просто используйте такой как Pa5word # (не реальный пароль), а затем продолжайте увеличивать число ....

Я нахожу эти системы совершенно сумасшедшими, так как они мешают вам использовать парольные фразы, например "thisismypasswordforjanurary" очень легко запомнить и очень безопасны, но большинство систем не допускают такие типы парольных фраз.

Поэтому я бы проголосовал за минимальную длину, скажем 15-20 символов, чтобы люди не могли просто использовать слова, а пароли в стиле l33t не требуются.

Что бы вы ни выбрали, я бы позаботился о том, чтобы вы задокументировали, какие существуют ограничения и почему они существуют, а также приведите несколько примеров для пользователей, которые помогут им создать безопасные.

Answer 9

Большинство участников здесь сразу предлагают политику. Который отвечает на вопрос, так что это хорошо. Но, на мой взгляд, вы должны сначала спросить себя: насколько важна информация, которую вы защищаете?

Например, политика паролей для защиты конфиденциальной информации в министерстве обороны, вероятно, будет сильно отличаться от политики, которую вы будете использовать для одноразовых учетных записей электронной почты.