Kullanıcı şifresi yaş / karmaşıklık politikası

Kullanıcılarım için makul bir şifre politikası belirlemek için herhangi bir kaynağı olan var mı? Kişisel eğilimim, şifre karmaşıklığını artırmak ve bir tür uzlaşma olarak daha az sıklıkta değiştirmelerine izin vermektir. Ortalama kullanıcımın bazı sayıları ve özel karakterleri karıştırmaya toleransı 5 veya 10 yıl önce olduğundan daha yüksek görünüyor.

Önerilen politika değişikliklerimi yedeklemek için kullanabileceğim temel kuralları ve / veya kaynakları arıyorum. Ya da daha fazla deneyime sahip olanlardan gelen fıkra bilgileri.

(Ben bir güvenlik gurusundan uzaktayım, eğer bu sadece başa çıkmak için belirsiz ise, sadece Windows ağ şifrelerine uygulamak için soruyu daraltalım, ancak insanların VPN ve web açısından ne yaptığını merak ediyorum hizmet politikası)

Günümüzün rastgele kaba kuvvet şifre saldırıları dünyasında, şu ifadeye katılma eğilimindeyim: iyi bir parola, tahmin edilmesi kolay ezberlenmiş bir paroladan daha iyidir

İşte şifre gücünün iyi bir karşılaştırması:

http://www.lockdown.co.uk/?pg=combi

Kullanıcılarınızın ne ile çalışmak istediğini düşünerek doğru şeyi yapıyorsunuz. Sık sık değiştirilmesi gereken oldukça karmaşık şifreleri zorlarsanız, not sonrası tüketiminizin hızla yükseleceğini göreceksiniz.

Purdue CERIAS'taki Gene Spafford'un bu konuya mantıklı bir katkısı var . İşte kısmi bir alıntı:

Peki “şifreleri ayda bir kez değiştir” ifadesi nereden geldi? İnsanların ağları olmayan ana çerçeveleri kullandıkları günlerde, en büyük kontrolsüz kimlik doğrulama sorunu çatlamaktı. Ancak kaynaklar sınırlıydı. Bulduğum kadarıyla, bazı DoD müteahhitleri, ana bilgisayarlarını kullanarak tüm olası şifreleri çalıştırmanın ne kadar süreceği hakkında zarfın arkasında bir hesaplama yaptılar ve sonuç birkaç aydı. Bu nedenle, (makul bir şekilde) sistematik çatlama girişimlerini yenmek için 1 aylık bir şifre değiştirme süresi belirlediler. Bu, daha sonra yayınlanmış ve yıllar içinde başkaları tarafından büyük ölçüde kabul gören bir politikada benimsenmiştir. Zaman geçtikçe denetçiler bunu aramaya başladılar ve bekledikleri “en iyi uygulamalarına” inşa ettiler.

Bu, makul bir analizin aylık bir şifre değişikliğinin güvenliği geliştirme üzerinde çok az etkisi olduğunu veya hiç etkisi olmadığını göstermesi gerçeğidir!
Bir DoD ortamında ağa bağlı olmayan ana çerçeveler ile 30 yıl önceki deneyime dayanan "en iyi uygulama" - özellikle akademi'de bugünün sistemleri için neredeyse hiç eşleşmiyor!

Ben daha çok kelime ve sayıları karıştırmak yerine daha uzun şifre (gerçekçi olarak, onları hatırlayacağınız çok kelimelik cümlelerde olduğu anlamına gelir) lehine. İnsanları sayı eklemeye zorlarsanız, i'nin yerine 1 gibi basit şeyler yapma olasılığı daha yüksektir, bu da size çok fazla güvenlik kazandırmaz.

http://www.iusmentis.com/security/passphrasefaq/

Şifre Politikaları üzerinde tonlarca materyal bulunmaktadır. Bir göz atmanızı tavsiye ederim

• Şifre Politikası hakkındaki wikipedia makalesi
• SANS Parola İlkesi belgesi.
• Kurumsal Şifre Yönetimi Kılavuzu başlıklı NIST sp800-118 taslağı

Şimdi, parola akıl sağlığı hakkında bir şeyler söylenmelidir . Gerçek şu ki, hatırlaması zor parolalar yazılmıştır. Aynı şey çok sık değiştirilmesi gereken şifreler için de geçerlidir. Sonuç olarak, neyi koruduğunuza ve kullanıcı tabanınıza bağlıdır.

Politika, kullanıcıların bilgisayarları ne için kullandığını, kullanıcının üzerinde ne kadar hassas bilgiler kullandığını yansıtmalıdır. Sadece kullanıcı tercihlerini içerecekse, saldırıları püskürtmek için her şey yerinde ise gerçekten güçlendirilmiş olmasına gerek yoktur. Eğer durum tam tersi ise, hatırlamak için karmaşık şifreler hakkında inleyen kullanıcıları rahatsız ederdim.

Kafamda her zaman yaklaşık 20 tane karmaşık şifre var ve bunları hatırlamak için klavyede desenler kullanarak oluşturmaya başladım. Sadece başlangıç ​​noktasını ve ne tür bir desen yapacağımı bilmem gerektiğinden kolaylaştırır. Herkes şifreleri değiştirmekten nefret ediyor, ama bu teknik onları kolayca değiştirmeme ve hatırlamama izin veriyor, bu yüzden güvenlik sıkı ... en azından benim için. Bir kağıda bir harf bile not edebilir ve hala hangi deseni yapacağımı hatırlayabilirim ve işleri çok iyi hatırlamıyorum. Eğer bu herkes için herhangi bir faydası varsa .. Bilmiyorum.

Karmaşık bir şifreyi gizlemeden yazmak benim için yanlış görünüyor. Birisi fiziksel olarak bir bilgisayara girmeye çalışıyorsa, bir hikaye anlatacaklarından emin olabilirsiniz.

Bir sağlık kurumunda çalışırken, gereksinimlerimizden bazılarının HIPAA'dan geldiğine inanıyorum. SOX reg'lerine bakmadım (sanırım şimdi sigorta dünyasına bağlıyım), ancak bu tür bir şeyin temeli olarak benzer bir dile sahip olabilirler.

Bunun ötesinde, daha büyük bir BT organizasyonunun (daha büyük bir şirkette alt bölüm) bir parçasıysanız, şirketin uyması gereken kurallar olabilir.

Sonuç olarak, hangi politika uygulanırsa uygulansın, üst yönetim tarafından kutsanması ve tercihen tüm personelin farkında olması / uyması gereken bir güvenlik veya BT politikasında yazılması gerekir. Acımasız olması gerekmez (her 180 günde bir parola değiştirme, alfa ve sayısal kombinasyon), ancak şirket politikası olmalıdır, böylece herkes gereksinim konusunda nettir.

Bazı iyi öneriler oldu, bu yüzden sadece bunu ekleyeceğim:

Politikadan muaf olabileceğinizden emin olabildiğiniz sürece ... İyi bir hafızam var, bu yüzden kişisel olarak 6 ay veya daha fazla gülünç derecede karmaşık olan 18 karakterli bir şifre kullanmayı tercih ediyorum. basit bir ayda bir değiştirmek zorunda.

Yalnızca küçük ve büyük harf ve boşluk kullanan 16 karakterlik bir parolanın 53 ^ 16 kombinasyon veya 3.876 * 10 ^ 27 verdiğini, küçük ve büyük harf, sayı ve sembol kullanan 10 karakterlik parolaların ise yalnızca 95 ^ 10 veya 5.987 verdiğini unutmayın. * 10 ^ 19.