Политика разумных паролей

1524
Jon Hopkins

Мне было поручено составить политику безопасности компании. В рамках этого я хочу определить, что такое разумный, но безопасный пароль (длина, символы и т. Д.), Как часто их следует менять, длина истории паролей и так далее.

Очевидно, мне нужно сбалансировать безопасность с практичностью.

Что люди обычно считают хорошей парольной политикой?

8

9 ответов на вопрос

4
Ivo Flipse

В Википедии есть хорошее резюме по этой теме.

Обычная практика паролей Политики паролей часто включают советы по правильному управлению паролями, такие как:

  • никогда не делить учетную запись компьютера
  • никогда не используйте один и тот же пароль для нескольких учетных записей
  • никогда не сообщать пароль никому, в том числе людям, которые утверждают, что из службы поддержки или безопасности
  • никогда не записывать пароль
  • никогда не сообщайте пароль по телефону, электронной почте или в мгновенных сообщениях
  • будьте осторожны, чтобы выйти из системы, прежде чем оставлять компьютер без присмотра
  • изменение паролей, когда есть подозрение, что они могли быть скомпрометированы
  • пароль операционной системы и пароли приложений разные
  • пароль должен быть буквенно-цифровым
  • делать пароли ПОЛНОСТЬЮ случайным, но легко запоминающимся

Предложения от ТУ Делфт :

Характеристики допустимых паролей

  • пароль содержит не менее восьми символов и
  • он содержит как минимум одну заглавную букву и
  • он содержит как минимум одну строчную букву и
  • он содержит хотя бы одну цифру или другой символ, например! @ # $% ^ & () {} [] <> ... и
  • это не термин в знакомом языке или жаргоне, и
  • он не идентичен или не связан с именем сопровождающего аккаунта, личными характеристиками или информацией из семейного / социального круга, а также
  • это легко запомнить, например, с помощью ключевого предложения, и
  • это может быть напечатано в бегло.

Лучшие практики для защиты паролей

  • избегать использования одного и того же пароля для работы и личной жизни;
  • расценивать все пароли как конфиденциальную информацию и не делиться ими с учетными записями коллег, членов семьи или других знакомых;
  • не разглашать пароли коллегам, своему начальнику или другим знакомым ни в обычных обстоятельствах, ни в случае отпуска или болезни;
  • не упоминайте пароль публично, по телефону или в незашифрованном виде;
  • никогда не записывайте пароль в свободно доступном месте;
  • не давайте никаких подсказок о мнемонике, используемой для запоминания вашего пароля;
  • никогда не предоставлять информацию о пароле в анкетах или формах безопасности;
  • если подозревается неправильное использование, сообщите об этом в организацию безопасности и немедленно измените все задействованные пароли;
  • если кто-то хочет знать пароль, то направьте его к этой политике.
3
pcapademic

С распространением кейлоггеров и фишинг-атак ваша организация может подумать об альтернативах «надежным» паролям. См . Блог Брюса Шнайера о статье. Считают ли надежные веб-пароли что-нибудь?

Я настоятельно рекомендую использовать двухфакторную аутентификацию. Между футбольными мячами, SecureID и Yubikey очень просто и относительно недорого реализовать второй фактор аутентификации.

2
pgs

Мне нравится Passwordsafe для отслеживания паролей.

Мои предложения:

  • Поощряйте пароли, а не слова. Бессмысленная фраза, состоящая из 3-4 слов, легче запомнить, чем 8 искаженных символов.

  • Установите разумный максимальный срок службы. От 3 до 6 месяцев

  • Не полагайтесь на 1337, чтобы защитить пароль. Злоумышленники, использующие словарь грубой силы, такие как Crack, делают изменения букв -> чисел в течение почти 20 лет. Но требуют букв, цифр, прописных и строчных букв и знаков препинания.

  • Не полагайтесь на неанглийские слова слова для безопасности. Любой дурак может загрузить несколько словарей в программу. Не имеет значения, говорит ли он на языке или нет.

+1 за безопасный пароль. На самом деле я не знаю большинство своих паролей, и все они разные, даже все случайные интернет-магазины. RBerteig 14 лет назад 0
Хорошее напоминание о том, что простая замена числа / буквы не является хорошей защитой. Полагаю, словарные взломы вполне устраивают людей, просто добавляющих цифры? Jon Hopkins 14 лет назад 0
@Tyrannosaurs: если это может быть автоматизировано, вы можете поспорить, что кто-то попробовал это. Словарные атаки медленные, но легко распараллеливаются. Представьте себе пароли, атакующие бот-сеть. pgs 14 лет назад 0
Я думаю, что хороший вопрос здесь: должны ли менеджеры паролей быть частью политики безопасности компании? Должны ли обычные пользователи (за исключением, вероятно, из ИТ) иметь менеджеров паролей на своих рабочих станциях? Isxek 14 лет назад 0
У меня лично нет проблем с этим. Я могу сбросить пароли на любой машине, на которой я работаю, и другие машины не являются моей проблемой. Конечно, единый вход и правильно управляемые разрешения лучше, чем несколько паролей и менеджер паролей. pgs 14 лет назад 0
Под "кроме, вероятно, из ИТ" я имею в виду, что они должны быть разрешены :) Isxek 14 лет назад 0
2
Tom

Для личных вещей я использую

  • Для важных вещей; GMail, веб-хостинг, онлайн-банкинг - другой 16-битный случайным образом сгенерированный (A-Za-z0-9), хранящийся в DB KeePass на DropBox, зашифрованный сложной, но легко запоминающейся парольной фразой. Возможно, немного переусердствовал, но это не слишком хлопотно.
  • Для обычных, менее важных вещей - форумов, учетных записей, не связанных с деньгами и т. Д., Я использую набор более простых паролей.
1
ChrisF

Вам нужно выбрать «разумную» частоту для того, как часто они должны быть изменены. Слишком быстро и люди будут вырождаться <old_password>+<number>(или что-то подобное), так медленно, и вы увеличиваете риск взлома пароля. Возможно, стоит выяснить, есть ли правило, которое вы можете установить для защиты от этого.

Точно так же вам нужно иметь правило, которое гласит, что пароль не может быть повторно использован для такого большого количества изменений (возможно, 10), чтобы люди не просто менялись двумя (или тремя) паролями для своей учетной записи.

Сделайте пароль хотя бы буквенно-цифровым с хотя бы одной заглавной буквой. Чтобы сделать его немного более безопасным, добавьте, что должен быть хотя бы один не алфавитно-цифровой символ.

1
Stephen

Вы могли бы иметь что-то вроде генератора паролей, как SuperGenPass . Таким образом, они могут иметь слабый пароль, но сгенерированная строка будет очень сильной. Но это было бы больше для входа на сайт.

Другие варианты будут:

  1. Используйте 1337 говорить в паролях.
  2. Используйте фазы с пунктуацией, например. Это очень длинный пароль!
  3. Присоединяйтесь к двум [Th1s, это v3ry v3ry l0ng p4ssw0rd!]

SuperGenPass не так, чтобы вы могли иметь слабый мастер-пароль, просто вам нужно запомнить только один надежный. Это важное различие. itsadok 14 лет назад 0
Нет оснований полагать, что замена чисел на гласные обеспечит какую-либо защиту. Chris Burgess 12 лет назад 0
1
Saulius Žemaitaitis

Укороченная версия:

Административная часть меня говорит 12-16-символьные пароли с прописными и заглавными буквами и цифрами. Также должна иметь произвольную текстовую часть, которой нет ни в одном словаре. Должно быть достаточным для предотвращения сетевых атак методом перебора.

Как пользователь, мне нравятся пароли, которые легко запомнить, хотя они могут быть длинными (16 символов и выше). Как только я запомнил это, я могу напечатать это достаточно быстро. Возможно, вместо того, чтобы просто применять политику, вы должны найти умные способы научить своих пользователей выбирать безопасные и легко запоминающиеся пароли, а не просто случайную комбинацию символов.

1
Bruce McLeod

В пятницу мне пришлось сменить пароль на сайте клиента. У них смешные правила. Все они стандартные, должны иметь заглавные буквы, пунктуацию, минимальную длину и т. Д., А также.

  • Первый символ не может быть символом пунктуации.
  • Нет словарных слов.
  • Один и тот же символ нельзя использовать дважды.

Проблема в том, что они настолько сложны, что найти их практически невозможно, особенно потому, что в сообщении об ошибке не указаны дополнительные требования, которые у них есть.

Я позвонил в службу поддержки, и они сказали, просто используйте такой как Pa5word # (не реальный пароль), а затем продолжайте увеличивать число ....

Я нахожу эти системы совершенно сумасшедшими, так как они мешают вам использовать парольные фразы, например «thisismypasswordforjanurary» очень легко запомнить и очень безопасны, но большинство систем не допускают такие типы парольных фраз.

Поэтому я бы проголосовал за минимальную длину, скажем 15-20 символов, чтобы люди не могли просто использовать слова, а пароли в стиле l33t не требуются.

Что бы вы ни выбрали, я бы позаботился о том, чтобы вы задокументировали, какие существуют ограничения и почему они существуют, а также приведите несколько примеров для пользователей, которые помогут им создать безопасные.

Это часто встречается в военных системах: вам нужно менять пароль каждый месяц, и вы не можете использовать последние 12 паролей. В результате люди просто ставят число или дату в конце простых паролей Martin Beckett 14 лет назад 0
1
Mark van Lent

Большинство участников здесь сразу предлагают политику. Который отвечает на вопрос, так что это хорошо. Но, на мой взгляд, вы должны сначала спросить себя: насколько важна информация, которую вы защищаете?

Например, политика паролей для защиты конфиденциальной информации в министерстве обороны, вероятно, будет сильно отличаться от политики, которую вы будете использовать для одноразовых учетных записей электронной почты.

Похожие вопросы