Zasady dotyczące wieku / złożoności hasła użytkownika

Czy ktoś ma jakieś zasoby do ustalenia rozsądnych zasad haseł dla moich użytkowników? Moje osobiste podejście polega na zwiększeniu złożoności haseł i umożliwieniu im rzadziej ich zmieniania jako pewnego rodzaju kompromisu. Wygląda na to, że mój przeciętny użytkownik ma większą tolerancję na mieszanie niektórych cyfr i znaków specjalnych niż 5 lub 10 lat temu.

Szukam praktycznych zasad i / lub zasobów, których mogę użyć do wykonania kopii zapasowej proponowanych zmian zasad. Lub nawet niepotwierdzone informacje od osób z większym doświadczeniem.

(Jestem daleki od guru bezpieczeństwa, więc jeśli jest to zbyt niejasne do rozwiązania, zawęźmy pytanie, aby zastosować tylko do wewnętrznych haseł sieciowych systemu Windows, chociaż byłbym zainteresowany tym, co ludzie robią w zakresie VPN i sieci polityka serwisowa)

W dzisiejszym świecie losowych ataków z użyciem siły brutalnej zwykle zgadzam się ze stwierdzeniem, że: spisane dobre hasło jest lepsze niż zapamiętane hasło, które łatwo zgadnąć

Oto dobre porównanie siły hasła:

http://www.lockdown.co.uk/?pg=combi

Robisz to dobrze, biorąc pod uwagę to, z czym użytkownicy są gotowi do pracy. Jeśli wymusisz bardzo skomplikowane hasła, które muszą się często zmieniać, przekonasz się, że zużycie kart pocztowych gwałtownie wzrośnie.

Gene Spafford w Purdue's CERIAS ma sensowny wkład w ten temat . Oto częściowy cytat:

Skąd więc wzięło się powiedzenie „zmiana hasła raz w miesiącu”? W czasach, gdy ludzie używali komputerów mainframe bez sieci, największym problemem niekontrolowanego uwierzytelnienia było załamanie. Zasoby były jednak ograniczone. Najlepiej, jak potrafię, niektórzy kontrahenci DoD przeprowadzili obliczenia z tyłu koperty dotyczące tego, ile czasu zajmie przejście wszystkich możliwych haseł za pomocą ich komputerów mainframe, a wynik był kilka miesięcy. Tak więc (nieco rozsądnie) ustawili 1-miesięczny okres zmiany hasła, aby pokonać systematyczne próby włamań. Zostało to zapisane w polityce, która została opublikowana i przez lata w dużej mierze zaakceptowana przez innych. Z biegiem czasu audytorzy zaczęli to poszukiwać i ostatecznie wykorzystali to w swojej „najlepszej praktyce”, której się spodziewali.

ZWRACA SIĘ fakt, że jakakolwiek uzasadniona analiza pokazuje, że comiesięczna zmiana hasła ma niewielki lub żaden wpływ na poprawę bezpieczeństwa!
Jest to „najlepsza praktyka” oparta na doświadczeniu 30 lat temu z niesieciowymi komputerami mainframe w środowisku DoD - prawie nie dorównuje dzisiejszym systemom, szczególnie w środowisku akademickim!

Zdecydowanie bardziej opowiadam się za dłuższym hasłem (co realistycznie oznacza, jak w wyrażeniach wielosłowych, w których je zapamiętasz) zamiast mieszania słów i cyfr. Jeśli zmusisz ludzi do dodawania liczb, częściej będą robić proste rzeczy, takie jak zastąpienie i przez 1 itd., Co nie zapewni ci większego bezpieczeństwa.

http://www.iusmentis.com/security/passphrasefaq/

Istnieje mnóstwo materiałów na temat zasad haseł. Polecam rzucić okiem

• Artykuł w Wikipedii na temat polityki haseł
• Dokument SANS dotyczący hasła .
• Projekt NIST sp800-118 zatytułowany Przewodnik po zarządzaniu hasłami przedsiębiorstwa

Teraz coś trzeba powiedzieć o zdrowiu hasła . Faktem jest, że trudne do zapamiętania hasło zostało zapisane. To samo dotyczy haseł, które należy zbyt często zmieniać. Podsumowując, zależy to od tego, co chronisz i od bazy użytkowników.

Zasady powinny odzwierciedlać, do czego użytkownicy używają komputerów, jak wrażliwe informacje przetwarzają na nich użytkownicy. Jeśli ma tylko zawierać preferencje użytkowników, tak naprawdę nie jest to mocno wzmocnione, jeśli wszystko inne jest gotowe do odparcia ataków. W przeciwnym razie wolałbym, aby zapamiętali użytkownicy narzekający na złożone hasła.

Przez cały czas mam w głowie około 20 skomplikowanych haseł i zacząłem je tworzyć za pomocą wzorów na klawiaturze, aby je zapamiętać. Ułatwia to, ponieważ muszę tylko znać punkt początkowy i jaki wzór wykonać. Wszyscy nie znoszą zmieniania haseł, ale ta technika pozwala mi je łatwo zmieniać i zapamiętywać, więc bezpieczeństwo jest dla mnie ... przynajmniej dla mnie. Mogę nawet zanotować jedną literę na kartce papieru i wciąż przypominam sobie, jaki wzór mam wykonać, i tak naprawdę nie pamiętam zbyt dobrze. Jeśli jednak ma to jakikolwiek użytek dla kogoś .. Nie wiem.

Zapisywanie złożonego hasła bez zaciemniania go wydaje mi się po prostu złe. Jeśli ktoś próbuje włamać się do komputera fizycznie, możesz być pewien, że będzie szukał jakiegoś gadżetu.

Uważam, że kiedy pracowałem dla zakładu opieki zdrowotnej, niektóre z naszych wymagań pochodziły od HIPAA. Nie spojrzałem na reguły SOX (które, jak sądzę, teraz stosuję się do świata ubezpieczeń), ale mogą mieć jakiś podobny język jako podstawę do tego rodzaju rzeczy.

Poza tym, jeśli jesteś częścią większej organizacji IT (poddział w większej korporacji), korporacja może mieć reguły, których można przestrzegać.

Najważniejsze jest to, że bez względu na to, jaka polityka zostanie wdrożona, powinna być pobłogosławiona przez kierownictwo wyższego szczebla, a najlepiej zapisana w polityce bezpieczeństwa lub informatycznej, o której wszyscy pracownicy muszą wiedzieć / stosować się do nich. Nie musi być drakoński (zmieniaj hasło co 180 dni, kombinacja znaków alfanumerycznych), ale powinna to być polityka firmy, aby wszyscy mieli jasność co do wymagań.

Byłem kilka dobrych sugestii, więc dodam to:

Tak długo, jak jesteś w stanie upewnić się, że możesz zostać zwolniony z polisy ... Mam dobrą pamięć, więc osobiście wolę móc używać 18-znakowego hasła, które jest absurdalnie złożone przez 6 miesięcy lub dłużej niż prosty, który muszę zmieniać raz w miesiącu.

Pamiętaj, że 16-znakowe hasło, które używa tylko małych i wielkich liter oraz spacji, daje 53 ^ 16 kombinacji lub 3,876 * 10 ^ 27, natomiast 10-znakowe hasło, które używa małych i wielkich liter, cyfr i symboli, daje tylko 95 ^ 10 lub 5,987 * 10 ^ 19.