Zasady rozsądnego hasła

Zadanie polegało mi na stworzeniu polityki bezpieczeństwa firmy. W ramach tego chcę określić, jakie jest rozsądne, ale bezpieczne hasło (długość, znaki itp.), Jak często powinny być zmieniane, długość historii haseł i tak dalej.

Oczywiście muszę zrównoważyć bezpieczeństwo z praktycznością.

Co ludzie ogólnie uważają za dobrą politykę haseł?

Wikipedia ma fajne streszczenie na ten temat

Powszechna praktyka haseł Zasady haseł często zawierają porady dotyczące właściwego zarządzania hasłami, takie jak:

• nigdy nie udostępniaj konta komputera
• nigdy nie używaj tego samego hasła do więcej niż jednego konta
• nigdy nie podawać hasła nikomu, w tym osobom, które twierdzą, że pochodzą z obsługi klienta lub bezpieczeństwa
• nigdy nie zapisuj hasła
• nigdy nie przekazuj hasła przez telefon, e-mail lub komunikator
• starając się wylogować przed pozostawieniem komputera bez nadzoru
• zmieniając hasła, gdy istnieje podejrzenie, że mogły zostać naruszone
• hasło systemu operacyjnego i hasło aplikacji są różne
• hasło powinno być alfanumeryczne
• spraw, aby hasła ZUPEŁNIE były losowe, ale łatwe do zapamiętania

Sugestie TU Delft :

Charakterystyka dopuszczalnych haseł

• hasło zawiera co najmniej osiem znaków oraz
• zawiera co najmniej jedną wielką literę, oraz
• zawiera co najmniej jedną małą literę, oraz
• zawiera co najmniej jedną cyfrę lub inny znak, taki jak! @ # $% ^ & () {} [] <> ... oraz
• to nie jest termin w znanym języku lub żargonie, i
• nie jest identyczny ani nie pochodzi od towarzyszącej nazwy konta, cech osobistych ani informacji z rodziny / kręgu społecznego, oraz
• łatwo to zapamiętać, na przykład za pomocą zdania kluczowego i
• można go pisać płynnie.

Najlepsze praktyki ochrony haseł

• unikaj używania tego samego hasła do pracy i życia prywatnego;
• traktuj wszystkie hasła jako poufne informacje i nie udostępniaj ich kontom współpracowników, członków rodziny lub innych znajomych;
• nie ujawniaj haseł kolegom, szefowi ani innym znajomym, ani w normalnych okolicznościach, ani w przypadku zwolnienia lub choroby;
• nie podawaj żadnego hasła w miejscu publicznym, telefonicznym lub w komunikacji nieszyfrowanej;
• nigdy nie zapisuj hasła w łatwo dostępnym miejscu;
• nie udzielaj żadnych wskazówek na temat mnemonika używanego do zapamiętywania hasła;
• nigdy nie podawaj informacji o haśle w kwestionariuszach lub formularzach bezpieczeństwa;
• jeśli podejrzewa się niewłaściwe użycie, zgłoś to organizacji bezpieczeństwa i natychmiast zmień wszystkie zaangażowane hasła;
• jeśli ktoś chce znać hasło, zapoznaj się z tymi zasadami.

Wraz z rozprzestrzenianiem się keyloggerów i ataków phishingowych Twoja organizacja może rozważyć alternatywę dla „silnych” haseł. Zobacz blog Bruce'a Schneiera na temat artykułu Czy silne hasła sieciowe coś osiągają?

Zdecydowanie zaleciłbym użycie uwierzytelniania dwuskładnikowego. Pomiędzy piłkami nożnymi , SecureID i Yubikey wdrożenie drugiego czynnika uwierzytelnienia jest bardzo łatwe i stosunkowo niedrogie.

Lubię Passwordsafe do śledzenia haseł.

Moje sugestie:

• Zachęcaj do wprowadzania fraz, a nie słów. Bezsensowna fraza złożona z 3-4 słów jest łatwiejsza do zapamiętania niż 8 zniekształconych znaków.

• Ustaw rozsądny maksymalny okres użytkowania. Od 3 do 6 miesięcy.

• Nie polegaj na 1337 mów do ochrony hasła. Agresorzy słownikowi Brute Force, tacy jak Crack , dokonują zmian liter i cyfr od prawie 20 lat. Ale wymagają liter, cyfr, wielkich i małych liter oraz interpunkcji.

• Dla bezpieczeństwa nie polegaj na słowach innych niż angielskie. Każdy głupiec może załadować wiele słowników do programu. Nie ma znaczenia, czy mówi w tym języku, czy nie.

Do rzeczy osobistych, których używam

• Za ważne rzeczy; GMail, Web Host, bankowość internetowa - inny 16-bitowy losowo generowany (A-Za-z0-9) przechowywany w KeePass DB na DropBoxie, zaszyfrowany złożonym, ale łatwym do zapamiętania hasłem. Być może trochę nadgorliwy, ale nie stanowi to większego problemu.
• Do typowych, mniej ważnych rzeczy - forów, kont niezwiązanych z pieniędzmi itp. Używam zestawu prostszych haseł.

Musisz wybrać „rozsądną” częstotliwość dla tego, jak często powinny być zmieniane. Zbyt szybko, a ludzie zmienią się w <old_password>+<number>(lub coś podobnego), więc powoli, a Ty zwiększasz ryzyko złamania hasła. Warto sprawdzić, czy istnieje reguła, którą można ustawić, aby się przed tym uchronić.

Trzeba też mieć regułę, która mówi, że hasła nie można użyć do tylu zmian (być może 10), aby ludzie nie zamieniali między dwoma (lub trzema) hasłami do swojego konta.

Ustaw hasło przynajmniej alfanumeryczne z co najmniej jedną dużą literą. Aby uczynić to nieco bezpieczniejszym, dodaj, że musi istnieć co najmniej jeden znak alfanumeryczny.

Możesz mieć coś w rodzaju generatora haseł, takiego jak SuperGenPass . Mogliby mieć słabe hasło, ale wygenerowany ciąg znaków byłby wyjątkowo silny. Ale to byłoby więcej w przypadku logowania do witryny.

Inne opcje to:

1. Użyj 1337 mów w hasłach.
2. Używaj faz z interpunkcją, np. To jest bardzo, bardzo długie hasło!
3. Dołącz do dwóch [Th1s, to v3ry v3ry l0ng p4ssw0rd!]

W piątek musiałem zmienić hasło na stronie klienta. Zasady, które mają, są śmieszne. Wszystkie są standardowe i muszą zawierać wielkie litery, znaki interpunkcyjne, minimalną długość itp.

• Pierwszy znak nie może być znakiem interpunkcyjnym.
• Brak słów w słowniku.
• Tego samego znaku nie można użyć dwukrotnie.

Problem polega na tym, że są one tak złożone, że prawie niemożliwe jest ich znalezienie, zwłaszcza że komunikat o błędzie nie mówi o dodatkowych wymaganiach.

Zadzwoniłem do działu pomocy technicznej i powiedzieli: po prostu użyj takiego Pa5word # (nie prawdziwego hasła), a następnie zwiększaj liczbę ...

Uważam, że te systemy są całkowicie szalone, ponieważ powstrzymują cię od używania haseł, na przykład „thisismypasswordforjanurary” jest bardzo łatwy do zapamiętania i bardzo bezpieczny, ale większość systemów nie zezwala na tego typu frazy.

Głosowałbym więc na wysoką minimalną długość, powiedzmy 15-20 znaków, że ludzie nie mogą po prostu używać słów, a hasła w stylu l33t nie są wymagane.

Cokolwiek wybierzesz, upewnię się, że udokumentujesz, jakie są ograniczenia i dlaczego one istnieją oraz kilka przykładów dla użytkowników, które pomogą im wygenerować bezpieczne.

Większość anwsers tutaj sugeruje zasady. Który odpowiada na pytanie, więc to dobrze. Ale moim zdaniem najpierw musisz zadać sobie pytanie: jak ważne są informacje, które chronisz?

Na przykład, zasady haseł dla departamentu obrony, aby zabezpieczyć poufne informacje, będą zasadniczo różnić się od zasad, których będziesz używać dla niepotrzebnych kont e-mail.

Krótka wersja:

Część administracyjna mnie mówi hasła zawierające od 12 do 16 znaków, zarówno małe, jak i wielkie litery oraz cyfry. Powinien także mieć losową część tekstową, której nie ma w żadnym słowniku. Powinno wystarczyć, aby zapobiec atakom siłowym opartym na sieci.

Jako użytkownik lubię hasła, które są łatwe do zapamiętania, nawet jeśli mogą być długie (16 znaków i więcej). Po zapamiętaniu mogę pisać wystarczająco szybko. Być może zamiast tylko egzekwować zasady, powinieneś znaleźć sprytne sposoby, aby nauczyć użytkowników wybierania bezpiecznych i łatwych do zapamiętania haseł, a nie tylko przypadkowego fragmentu znaków.