Срок действия и сложность пароля пользователя

Кто-нибудь получил какие-либо ресурсы для определения разумной политики паролей для моих пользователей? Моя личная склонность заключается в том, чтобы усугубить сложность пароля и позволить им менять их реже как своего рода компромисс. Кажется, что мой средний пользователь имеет более высокий допуск для смешивания некоторых чисел и специальных символов, чем они имели 5 или 10 лет назад.

Я ищу практические правила и / или ресурсы, которые могу использовать для резервного копирования предложенных изменений политики. Или даже неофициальная информация от тех, у кого больше опыта.

(Я далеко не гуру безопасности, поэтому, если с этим неясно разобраться, давайте сузим вопрос, применимый только к внутренним сетевым паролям Windows, хотя мне было бы интересно, что люди делают с точки зрения VPN и сети. политика обслуживания)

В сегодняшнем мире случайных атак паролем я склонен согласиться с утверждением, что: хороший записанный пароль лучше запомненного пароля, который легко угадать

Вот хорошее сравнение надежности пароля:

http://www.lockdown.co.uk/?pg=combi

Вы поступаете правильно, учитывая, с чем готовы работать ваши пользователи. Если вы введете очень сложные пароли, которые должны часто меняться, вы обнаружите, что потребление заметок после этого будет стремительно расти.

В эту тему внесли разумный вклад Джин Спаффорд из CERIAS Пердью . Вот частичная цитата:

Итак, откуда взято изречение «меняйте пароли раз в месяц»? В те времена, когда люди использовали мэйнфреймы без сети, самой большой проблемой неконтролируемой аутентификации был взлом. Ресурсы, однако, были ограничены. Насколько я могу судить, некоторые подрядчики из DoD провели предварительный подсчет того, сколько времени потребуется, чтобы пройти через все возможные пароли с помощью своего мэйнфрейма, и результат составил несколько месяцев. Таким образом, они (в некоторой степени обоснованно) устанавливают период смены пароля в 1 месяц как средство противодействия систематическим попыткам взлома. Затем это было закреплено в политике, которая была опубликована и в основном принята другими на протяжении многих лет. Со временем аудиторы начали искать это и в конечном итоге встроили это в «лучшую практику», которую они ожидали.

Это УЖАСНЫЙ факт, что любой разумный анализ показывает, что ежемесячное изменение пароля практически не влияет на повышение безопасности!
Это «лучшая практика», основанная на опыте 30-летней давности с несетевыми мэйнфреймами в среде DoD, что вряд ли подходит для современных систем, особенно в научных кругах!

Я гораздо больше предпочитаю более длинный пароль (что реально означает, как в словосочетаниях из нескольких слов, которые вы запомните их) вместо того, чтобы смешивать слова и цифры. Если вы заставляете людей добавлять числа, они, скорее всего, будут делать простые вещи, например, заменять i на 1 и т. Д., Что не очень вас защищает.

http://www.iusmentis.com/security/passphrasefaq/

Есть много материала о политике паролей. Я рекомендую взглянуть на

• Статья в Википедии о политике паролей
• Документ политики паролей SANS .
• Проект NIST sp800-118 под названием « Руководство по управлению паролями предприятия»

Теперь нужно кое-что сказать о здравом уме пароля . Дело в том, что пароль, который трудно запомнить, записывается. То же самое касается паролей, которые нужно менять слишком часто. Суть в том, что это зависит от того, что вы защищаете, и от вашей базы пользователей.

Политика должна отражать, для чего пользователи используют компьютеры, как конфиденциальную информацию обрабатывает пользователь. Если это просто для того, чтобы содержать пользовательские настройки, вам не нужно его сильно укреплять, если есть все остальное для отражения атак. Если бы произошло обратное, я бы предпочел раздражать пользователей, которые стонали о сложных паролях, чтобы помнить.

У меня в голове постоянно 20 с лишним сложных паролей, и я начал создавать их, используя шаблоны на клавиатуре, чтобы запомнить их. Это облегчает задачу, поскольку мне нужно только знать отправную точку и какую модель сделать. Все ненавидят смену паролей, но эта техника позволяет мне легко менять их и запоминать, поэтому безопасность жесткая ... по крайней мере, для меня. Я даже могу записать одну букву на листе бумаги и до сих пор вспоминать, какой шаблон сделать, и я не очень хорошо помню вещи. Однако, если это кому-нибудь пригодится ... Я не знаю.

Запись сложного пароля без запутывания кажется мне неправильным. Если кто-то пытается взломать компьютер физически, вы можете быть уверены, что он будет искать какой-то контрольный сигнал.

Я считаю, что когда я работал в медицинском учреждении, некоторые наши требования исходили от HIPAA. Я не смотрел на правила SOX (которых, я думаю, сейчас придерживаюсь в мире страхования), но они могут иметь какой-то похожий язык в качестве основы для такого рода вещей.

Кроме того, если вы являетесь частью более крупной ИТ-организации (подразделения в более крупной корпорации), у корпорации могут быть правила, которых можно придерживаться.

Суть заключается в том, что независимо от того, какая политика будет внедрена, она должна быть благословлена ​​высшим руководством и, предпочтительно, записана в политике безопасности или ИТ-политике, о которой все сотрудники должны знать / соблюдать. Он не должен быть драконовским (смена пароля каждые 180 дней, комбинация букв и цифр), но это должна быть политика компании, чтобы все были предельно ясны в отношении требований.

Были некоторые хорошие предложения, поэтому я просто добавлю это:

Пока вы можете быть уверены, что можете быть освобождены от политики ... У меня хорошая память, поэтому лично я предпочитаю использовать пароль из 18 символов, который до смешного сложен в течение 6 месяцев или более, чем простой, который я должен менять раз в месяц.

Имейте в виду, что 16-значный пароль, который использует только строчные и прописные буквы и пробелы, дает 53 ^ 16 комбинаций или 3,876 * 10 ^ 27, тогда как 10-значный пароль, который использует строчные и прописные буквы, цифры и символы, дает только 95 ^ 10 или 5,987. * 10 ^ 19.