Политика разумных паролей

Мне было поручено составить политику безопасности компании. В рамках этого я хочу определить, что такое разумный, но безопасный пароль (длина, символы и т. Д.), Как часто их следует менять, длина истории паролей и так далее.

Очевидно, мне нужно сбалансировать безопасность с практичностью.

Что люди обычно считают хорошей политикой паролей?

В Википедии есть хорошее резюме по этой теме.

Обычная практика паролей Политики паролей часто включают советы по правильному управлению паролями, такие как:

• никогда не делить учетную запись компьютера
• никогда не используйте один и тот же пароль для нескольких учетных записей
• никогда не сообщать пароль никому, в том числе людям, которые утверждают, что из службы поддержки или безопасности
• никогда не записывать пароль
• никогда не сообщайте пароль по телефону, электронной почте или в мгновенных сообщениях
• будьте осторожны при выходе из системы, прежде чем оставлять компьютер без присмотра
• изменение паролей, когда есть подозрение, что они могли быть скомпрометированы
• пароль операционной системы и пароли приложений разные
• пароль должен быть буквенно-цифровым
• делать пароли ПОЛНОСТЬЮ случайным, но легко запоминающимся

Предложения от ТУ Делфт :

Характеристики допустимых паролей

• пароль содержит не менее восьми символов и
• он содержит как минимум одну заглавную букву и
• он содержит как минимум одну строчную букву и
• он содержит хотя бы одну цифру или другой символ, например! @ # $% ^ & () {} [] <> ... и
• это не термин в знакомом языке или жаргоне, и
• оно не идентично или не получено из сопутствующего имени учетной записи, из личных характеристик или информации из своего семейного / социального круга, и
• это легко запомнить, например, с помощью ключевого предложения, и
• это может быть напечатано в бегло.

Лучшие практики для защиты паролей

• избегать использования одного и того же пароля для работы и личной жизни;
• рассматривайте все пароли как конфиденциальную информацию и не передавайте их в учетные записи коллег, членов семьи или других знакомых;
• не разглашать пароли коллегам, своему начальнику или другим знакомым ни в обычных обстоятельствах, ни в случае отпуска или болезни;
• не упоминайте пароль публично, по телефону или в незашифрованном виде;
• никогда не записывайте пароль в свободно доступном месте;
• не давайте никаких подсказок о мнемонике, используемой для запоминания вашего пароля;
• никогда не предоставлять информацию о пароле в анкетах или формах безопасности;
• если подозревается неправильное использование, сообщите об этом в охранную организацию и немедленно измените все задействованные пароли;
• если кто-то хочет знать пароль, то направьте его к этой политике.

С распространением кейлоггеров и фишинг-атак ваша организация должна рассмотреть альтернативы «надежным» паролям. См . Блог Брюса Шнайера о статье. Считают ли надежные веб-пароли что-нибудь?

Я настоятельно рекомендую использовать двухфакторную аутентификацию. Между футбольными мячами, SecureID и Yubikey очень просто и относительно недорого реализовать второй фактор аутентификации.

Мне нравится Passwordsafe для отслеживания паролей.

Мои предложения:

• Поощряйте пароли, а не слова. Бессмысленная фраза, состоящая из 3-4 слов, легче запомнить, чем 8 искаженных символов.

• Установите разумный максимальный срок службы. От 3 до 6 месяцев

• Не надейтесь на 1337, чтобы защитить пароль. Злоумышленники, использующие словарь грубой силы, такие как Crack , делают изменения букв -> чисел в течение почти 20 лет. Но требуют букв, цифр, прописных и строчных букв и знаков препинания.

• Не полагайтесь на неанглийские слова слова для безопасности. Любой дурак может загрузить несколько словарей в программу. Неважно, говорит он на языке или нет.

Для личных вещей я использую

• Для важных вещей; GMail, веб-хостинг, онлайн-банкинг - другой 16-разрядный случайным образом сгенерированный (A-Za-z0-9), хранящийся в DB KeePass на DropBox, зашифрованный сложной, но легко запоминающейся парольной фразой. Возможно, немного переусердствовал, но это не слишком хлопотно.
• Для обычных, менее важных вещей - форумов, учетных записей, не связанных с деньгами и т. Д., Я использую набор более простых паролей.

Вам нужно выбрать «разумную» частоту для того, как часто они должны быть изменены. Слишком быстро, и люди будут вырождаться <old_password>+<number>(или что-то подобное), так медленно, и вы увеличиваете риск взлома пароля. Возможно, стоит выяснить, есть ли правило, которое вы можете установить для защиты от этого.

Точно так же вам нужно иметь правило, которое гласит, что пароль не может быть повторно использован для такого большого количества изменений (возможно, 10), чтобы люди не просто обменивались двумя (или тремя) паролями для своей учетной записи.

Сделайте пароль хотя бы буквенно-цифровым с хотя бы одной заглавной буквой. Чтобы сделать его немного более безопасным, добавьте, что должен быть хотя бы один не алфавитно-цифровой символ.

У вас может быть что-то вроде генератора паролей вроде SuperGenPass . Таким образом, у них может быть слабый пароль, но сгенерированная строка будет очень сильной. Но это было бы больше для входа на сайт.

Другие варианты будут:

1. Используйте 1337 говорить в паролях.
2. Используйте фазы с пунктуацией, например, Это очень длинный пароль!
3. Присоединяйтесь к двум [Th1s, это v3ry v3ry l0ng p4ssw0rd!]

В пятницу мне пришлось сменить пароль на сайте клиента. Правила у них смешные. Все они стандартные, должны иметь заглавные буквы, пунктуацию, минимальную длину и т. Д., А также.

• Первый символ не может быть символом пунктуации.
• Нет словарных слов.
• Один и тот же символ нельзя использовать дважды.

Проблема в том, что они настолько сложны, что найти их практически невозможно, особенно потому, что в сообщении об ошибке не указаны дополнительные требования, которые у них есть.

Я позвонил в службу поддержки, и они сказали, просто используйте такой как Pa5word # (не реальный пароль), а затем продолжайте увеличивать число ....

Я нахожу эти системы совершенно сумасшедшими, поскольку они мешают вам использовать парольные фразы, например «thisismypasswordforjanurary» очень легко запомнить и очень безопасны, но большинство систем не допускают такие типы парольных фраз.

Поэтому я бы проголосовал за минимальную длину, скажем 15-20 символов, чтобы люди не могли просто использовать слова, а пароли в стиле l33t не требуются.

Что бы вы ни выбрали, я бы позаботился о том, чтобы вы задокументировали, какие существуют ограничения и почему они существуют, и приведите несколько примеров для пользователей, которые помогут им создать безопасные.

Большинство участников здесь сразу предлагают политику. Который отвечает на вопрос, так что это хорошо. Но, на мой взгляд, вы должны сначала спросить себя: насколько важна информация, которую вы защищаете?

Например, политика паролей Министерства обороны для защиты конфиденциальной информации, вероятно, будет сильно отличаться от политики, которую вы будете использовать для одноразовых учетных записей электронной почты.

Укороченная версия:

Административная часть меня говорит 12-16-символьные пароли с прописными и строчными буквами и цифрами. Также должна иметь произвольную текстовую часть, которой нет ни в одном словаре. Должно быть достаточно, чтобы предотвратить сетевые атаки методом перебора.

Как пользователь, мне нравятся пароли, которые легко запомнить, хотя они могут быть длинными (16 символов и выше). Как только я запомнил это, я могу напечатать это достаточно быстро. Возможно, вместо того, чтобы просто применять политику, вы должны найти умные способы научить своих пользователей выбирать безопасные и легко запоминающиеся пароли, а не просто случайную комбинацию символов.