Політика щодо віку / складності пароля користувача

Хто-небудь отримав ресурси для визначення розумної політики паролів для моїх користувачів? Моя особиста схильність полягає в тому, щоб пояснити складність паролів і дозволити їм рідше змінювати їх як своєрідний компроміс. Здається, мій середній користувач має більш високу толерантність до змішування в деяких числах та спеціальних символах, ніж вони були 5 або 10 років тому.

Я шукаю основні правила та / або ресурси, якими можна скористатись для резервного копіювання запропонованих змін політики. Або навіть анекдотичну інформацію від тих, хто має більше досвіду.

(Я далеко не гуру безпеки, тому, якщо з цим просто розпливатись, давайте звузимо питання, щоб застосувати лише до внутрішніх паролів мережі Windows, хоча мені було б цікаво, що люди роблять з точки зору VPN та Інтернету Політика обслуговування)

У сучасному світі випадкових нападів жорстокої паролі я схильний погоджуватися з твердженням, що: хороший записаний пароль краще, ніж запам'ятований пароль, який легко здогадатися

Ось хороше порівняння міцності пароля:

http://www.lockdown.co.uk/?pg=combi

Ви робите правильно, враховуючи, з чим готові працювати ваші користувачі. Якщо ви змушуєте вкрай складні паролі, які потрібно часто змінювати, ви побачите, що споживання нотатки після нього зросте.

У цю тему є вагомий внесок від Джина Спаффорда в CERIAS Purdue . Ось часткова цитата:

То звідки беруться дані про "зміну паролів раз на місяць"? Ще в часи, коли люди використовували мейнфрейми без мереж, найбільша проблема неконтрольованої аутентифікації була тріщиною. Однак ресурси були обмежені. Як найкраще, як я можу знайти, деякі підрядники DoD зробили підрахунок зворотного конверту про те, скільки часу знадобиться для проходження всіх можливих паролів, використовуючи їх мейнфрейм, і результат був кілька місяців. Отже, вони (дещо обґрунтовано) встановлюють термін зміни пароля в 1 місяць як засіб перемогти спроби систематичного злому. Потім це було закріплено в політиці, яка була опублікована і значною мірою прийнята іншими роками. З плином часу аудитори почали шукати це, і в кінцевому підсумку ввели це у свою «найкращу практику», яку вони очікували.

Це ОБОВ'ЯЗКОВО: той факт, що будь-який обґрунтований аналіз показує, що щомісячна зміна пароля мало чи не має кінцевого впливу на покращення безпеки!
Це "найкраща практика", заснована на досвіді 30 років тому з немережевими основними кадрами в середовищі DoD - навряд чи відповідає сучасним системам, особливо в наукових колах!

Я набагато більше прихильник більш тривалого пароля (який, реально, означає, як багатослівні фрази, які ви їх пам’ятаєте) замість змішування слів і цифр. Якщо ви змушуєте людей додавати номери, вони, швидше за все, роблять прості речі, такі як заміна i на 1 і т.д., що не отримує вам великої безпеки.

http://www.iusmentis.com/security/passphrasefaq/

На матеріалах політики щодо паролів є тонни. Рекомендую поглянути

• Стаття Вікіпедії про політику щодо паролів
• Документ про політику ДАНС щодо пароля .
• Проект NIST sp800-118 з назвою " Керівництво по управлінню паролем підприємства"

Тепер щось потрібно сказати про безпеку пароля . Справа в тому, що паролі, які важко запам'ятати, записуються. Те саме стосується паролів, які потрібно занадто часто змінювати. Підсумок, це залежить від того, що ви захищаєте, та вашої бази даних.

Політика повинна відображати, для чого користувачі використовують комп'ютери, наскільки чутлива інформація, яку користувач обробляє на ній. Якщо просто містити вподобання користувачів, вам це не дуже потрібне, якщо все інше на місці для відбиття атак. Якщо це навпаки, я б швидше роздратував користувачів, що стогнуть про складні паролі, які слід пам'ятати.

У мене в голові є близько 20-ти складних паролів, і я почав створювати їх за допомогою шаблонів на клавіатурі, щоб запам'ятати їх. Це полегшує, оскільки мені потрібно лише знати вихідну точку і яку схему зробити. Усі ненавидять зміни паролів, але ця методика дозволяє мені легко їх змінювати і запам’ятовувати, тому безпека є жорсткою .. для мене принаймні. Я навіть можу записати одну букву на аркуші паперу і все ще пригадати, який візерунок зробити, і я не дуже добре пам’ятаю речі. Якщо це комусь корисне, однак .. я не знаю.

Записувати складний пароль без обдумування мені здається просто неправильним. Якщо хтось намагається увірватися в комп’ютер фізично, ви можете бути впевнені, що вони шукають якусь розповідь.

Я вважаю, що коли я працював у медичному закладі, то деякі наші вимоги випливали з HIPAA. Я не розглядав SOX-регістри (яких, напевно, зараз я дотримуюся у світі страхування), але вони можуть мати якусь подібну мову як основу для подібних речей.

Крім того, якщо ви є частиною більшої організації ІТ (підрозділ у більшій корпорації), корпорація може мати правила, яких можна дотримуватися.

Підсумковий результат повинен полягати в тому, що незалежно від того, яка політика впроваджується, вона буде благословлена ​​вищим керівництвом і, бажано, записана в політиці безпеки або ІТ, про яку повинен бути ознайомлений / дотримуватися весь персонал. Він не повинен бути драконічним (міняти пароль кожні 180 днів, поєднання альфа-чисел та цифр), але це має бути політика компанії, щоб усі були чітко зрозумілими щодо вимоги.

Були кілька хороших пропозицій, тому я просто збираюся додати це:

Поки ви зможете переконатися, що ви можете бути звільнені від політики ... У мене хороша пам'ять, тому особисто я вважаю за краще використовувати пароль із 18 символів, який смішно складний протягом 6 місяців або більше, ніж простий, який мені доводиться міняти раз на місяць.

Майте на увазі, що 16-символьний пароль, який використовує лише малі та великі літери та пробіли, дає 53 ^ 16 комбінацій або 3.876 * 10 ^ 27, тоді як 10-символьні паролі, які використовують малі та великі літери, цифри та символи, дають лише 95 ^ 10 або 5.987 * 10 ^ 19.