Політика щодо розумного пароля

Мені доручено скласти політику безпеки компанії. У рамках цього я хочу визначити, що є розумним, але захищеним паролем (довжина, символи тощо), як часто їх слід змінювати, довжину історії паролів тощо.

Очевидно, що мені потрібно збалансувати безпеку та практичність.

Що зазвичай люди вважають хорошою політикою щодо паролів?

У Вікіпедії є хороший підсумок на цю тему

Загальна практика паролів Політика щодо паролів часто включає поради щодо правильного керування паролем, наприклад:

• ніколи не ділиться обліковим записом комп’ютера
• ніколи не використовуючи один і той же пароль для більш ніж одного облікового запису
• ніколи не повідомляючи пароль нікому, в тому числі людям, які претендують на службу обслуговування або обслуговування клієнтів
• ніколи не записуючи пароль
• ніколи не повідомляючи пароль телефоном, електронною поштою чи миттєвими повідомленнями
• Будьте уважні до виходу, перш ніж залишати комп'ютер без нагляду
• зміна паролів, коли є підозри, що вони можуть бути порушені
• Пароль операційної системи та паролі програми різні
• пароль має бути буквено-цифровим
• зробіть паролі ЦІЛЬКИ випадковими, але легко запам’ятовуються

Пропозиції від TU Delft :

Характеристика прийнятних паролів

• пароль містить щонайменше вісім символів та
• він містить щонайменше одну велику літеру та
• він містить щонайменше одну малу літеру та
• він містить принаймні одну цифру чи інший символ, наприклад! @ # $% ^ & () {} [] <> ..., і
• це не термін у відомій мові чи жаргоні, і
• вона не тотожна або походить із супровідного імені облікового запису, з особистих характеристик або з інформації сімейного / соціального кола та
• легко запам'ятати, наприклад, за допомогою ключового речення та
• його можна вводити вільно.

Кращі практики захисту паролів

• уникати використання одного і того ж пароля для роботи та особистого життя;
• вважати всі паролі чутливою інформацією та не ділитися ними з обліковими записами колег, членів сім’ї чи інших знайомих;
• не розкривайте паролі колегам, своєму начальникові чи іншим знайомим, ні за звичайних обставин, ні у випадку відпустки чи хвороби;
• не вказуйте жодного пароля публічно, по телефону або в незашифрованому спілкуванні;
• ніколи не записуйте пароль у вільно доступному місці;
• не дайте жодних підказок про мнемоніки, які використовуються для запам'ятовування вашого пароля;
• ніколи не надайте інформацію про пароль у анкетах чи захисних формах;
• якщо є підозра на нецільове використання, повідомте про це в охоронну організацію та негайно змініть усі причетні паролі;
• якщо хтось хоче знати пароль, то віднесіть його до цієї політики.

З розповсюдженням кейлогерів та фішинг-атак, ваша організація може погодитись розглянути альтернативи "сильним" паролям. Дивіться блог Брюса Шнайєра про статтю Чи сильні веб-паролі нічого не відповідають?

Я настійно пропоную використовувати двофакторну аутентифікацію. Між футболами, SecureID та Yubikey дуже просто та порівняно недорого реалізувати другий фактор аутентифікації.

Мені подобається Passwordsafe за відстеження паролів.

Мої пропозиції:

• Заохочуйте пропускати фрази, а не слова. Безглузду фразу, що складається з 3-4 слів, легше запам’ятати, ніж 8 натертих символів.

• Встановіть розумний максимальний термін експлуатації. Від 3 до 6 місяців.

• Не покладайтесь на те, що 1337 говорять, щоб захистити пароль. Зловмисники словника з грубою силою, такі як Crack , вже майже 20 років проводять зміни літерних чисел. Але потрібні літери, цифри, великі і малі та розділові знаки.

• Не покладайтеся на безпечні слова, які не є англійськими. Будь-який дурень може завантажити кілька словників у програму. Не має значення, він говорить мовою чи ні.

Для особистих речей я використовую

• Для важливих речей; GMail, веб-хостинг, Інтернет-банкінг - різний 16-бітний генерований випадковим чином (A-Za-z0-9), що зберігається в БД KeePass на DropBox, зашифрованому зі складною, але легко запам'ятовується парольною фразою. Можливо, трохи надмірно, але це зайві клопоти.
• Для звичайних, менш важливих речей - форумів, негрошових рахунків тощо, я використовую набір більш простих паролів.

Вам потрібно вибрати "розумну" частоту за те, як часто вони повинні змінюватися. Занадто швидко, і люди будуть перероджуватися в <old_password>+<number>(або щось подібне), тому повільно, і ви збільшуєте ризик порушити пароль. Можливо, варто вивчити, чи є правило, яке ви можете встановити для захисту від цього.

Так само потрібно мати правило, яке говорить про те, що пароль не можна повторно використовувати для такої кількості змін (можливо, 10), щоб люди не просто міняли між двома (або трьома) паролями свого облікового запису.

Зробіть пароль принаймні буквено-цифровим, принаймні одним капіталом. Щоб зробити його більш безпечним, додайте, що має бути принаймні один не буквено-цифровий символ.

У вас може виникнути щось на кшталт генератора паролів, як SuperGenPass . Таким чином, вони можуть мати слабкий пароль, але створений рядок був би надзвичайно сильним. Але це було б більше для входу на веб-сайт.

Інші варіанти:

1. Використовуйте 1337 говорити у паролях.
2. Використовуйте фази з пунктуацією, наприклад, це дуже довгий пароль!
3. Приєднуйтесь до двох [Th1s, це v3ry v3ry l0ng p4ssw0rd!]

У п’ятницю мені довелося змінити свій пароль на сайті мого клієнта. Правила у них смішні. Усі вони стандартні, повинні мати великі літери, розділові знаки, мінімальну довжину тощо.

• Перший символ не може бути розділовим символом.
• Немає словникових слів.
• Не можна використовувати один і той же символ двічі.

Проблема полягає в тому, що вони настільки складні, що знайти їх практично неможливо, тим більше, що повідомлення про помилку не повідомляє вам про додаткові вимоги.

Я зателефонував у службу довідки, і вони сказали, просто використовуйте такий, як цей Pa5word # (не справжній пароль), а потім продовжуйте збільшувати число ....

Я вважаю ці системи абсолютно божевільними, оскільки вони не дозволяють вам використовувати парольні фрази, наприклад "thisismypasswordforjanurary" дуже легко запам’ятовується та дуже безпечно, але більшість систем не дозволяють використовувати такі типи передачі фраз.

Тому я б голосував за високу мінімальну довжину, скажімо, 15-20 символів таким чином, що люди не можуть просто використовувати слова, а паролі в стилі l33t не потрібні.

Що б ви не вибрали, я б переконався, що ви задокументуєте, що таке обмеження, і чому вони існують, і кілька прикладів для користувачів, які допоможуть їм створити безпечні.

Більшість прихильників тут прямують до пропозицій щодо політики. Що відповідає на питання, так що це добре. Але, на мою думку, потрібно спершу запитати себе: наскільки важлива інформація, яку ви захищаєте?

Наприклад, політика щодо паролів для міністерства оборони для захисту конфіденційної інформації, ймовірно, буде сильно відрізнятися від політики, яку ви будете використовувати для викидання облікових записів електронної пошти.

Коротка версія:

Частина адміністратора мені каже 12-16 символів паролів із великими і малими літерами та цифрами. Також повинна бути випадкова текстова частина, якої немає в жодному словнику. Повинно бути достатнім для запобігання жорстоких атак на основі мережі.

Як користувач мені подобаються паролі, які легко запам'ятовуються, навіть якщо вони можуть бути довгими (16 символів і вище). Після запам'ятовування я можу набрати його досить швидко. Можливо, замість того, щоб застосовувати лише політику, ви повинні знайти розумні способи навчити своїх користувачів вибирати захищені та легко запам'ятовуються паролі, а не лише випадкову частину символів.