Política de Senha Sensível

A Wikipedia tem um bom resumo sobre este tópico

Prática de senha comum As políticas de senha geralmente incluem conselhos sobre o gerenciamento adequado de senhas, como:

• nunca compartilha uma conta de computador
• nunca usa a mesma senha para mais de uma conta
• nunca dizendo uma senha para ninguém, incluindo pessoas que afirmam ser de atendimento ao cliente ou segurança
• nunca escreve uma senha
• nunca comunicando uma senha por telefone, e-mail ou instantâneo mensagens
• tomando cuidado para fazer logoff antes deixando um computador sem supervisão
• mudando as senhas sempre que houver suspeita de que eles podem ter sido comprometido
• senha do sistema operacional e senhas de aplicativos são diferentes
• a senha deve ser alfanumérica
• crie senhas COMPLETAMENTE aleatórias, mas fácil para você lembrar

Sugestões de TU Delft :

Características de senhas aceitáveis

• uma senha contém pelo menos oito caracteres e
• contém pelo menos uma letra maiúscula e
• contém pelo menos uma letra minúscula e
• contém pelo menos um dígito ou outro caractere, como! @ # $% ^ & () {} [] < > ... e
• não é um termo em um idioma ou jargão familiar e
• não é idêntico ou derivado do nome da conta acompanhante, de características pessoais ou de informações do círculo familiar / social de uma pessoa e
• é fácil de lembrar, por exemplo, por meio de uma frase-chave, e
• pode ser digitado com fluência.

Práticas recomendadas para proteger senhas

• evite o uso da mesma senha para o trabalho e a vida privada;
• considere todas as senhas como informações confidenciais e não as compartilhe com as contas de colegas, familiares ou outros conhecidos;
• não revela senhas a colegas, a um chefe ou a outros conhecidos, nem em circunstâncias normais nem em caso de licença ou doença;
• não menciona nenhuma senha em público, por telefone ou em comunicação não criptografada;
• nunca anote uma senha em um local de acesso livre;
• não dê sugestões sobre o mnemônico usado para lembrar sua senha;
• nunca fornece informações sobre uma senha em questionários ou formulários de segurança;
• se houver suspeita de uso indevido, informe isso à organização de segurança e altere imediatamente todas as senhas envolvidas;
• se alguém quiser saber uma senha, encaminhá-lo para esta política.

Com a proliferação de keyloggers e ataques de phishing, pode ser que sua organização considere alternativas a senhas "strongs". Veja o blog de Bruce Schneier sobre o artigo Fazer senhas strongs na Web fazem alguma coisa?

Eu sugiro strongmente usar a autenticação de dois fatores. Entre bolas de futebol, SecureID e Yubikey , é muito fácil e relativamente barato implementar um segundo fator de autenticação.

Eu gosto de Senha segura para manter o controle das senhas.

Minhas sugestões:

• Incentive frases secretas, não palavras. Uma frase sem sentido, composta de 3-4 palavras, é mais fácil de lembrar do que 8 caracteres ilegíveis.

• Defina uma duração máxima razoável. De 3 a 6 meses.

• Não confie no 1337 speak para proteger uma senha. Os atacantes de dicionário de força bruta, como o Crack , vêm fazendo alterações de número de letra > por quase 20 anos. Mas exigem letras, números, letras maiúsculas e minúsculas e pontuação.

• Não confie em palavras que não sejam palavras em inglês para segurança. Qualquer idiota pode carregar vários dicionários em um programa. Não importa se ele fala a língua ou não.

Para coisas pessoais eu uso

• Por coisas importantes; GMail, Web Host, Online Banking - um 16-bit diferente gerado aleatoriamente (A-Za-z0-9) armazenado em um KeePass DB no DropBox criptografado com uma senha complexa, mas facilmente lembrada. Talvez com excesso de zelo, mas não há muito trabalho extra.
• Para coisas comuns e menos importantes - fóruns, contas não relacionadas a dinheiro, etc., uso um conjunto de senhas mais simples.

Versão resumida:

A parte administrativa de mim diz senhas de 12 a 16 caracteres com letras maiúsculas e minúsculas e números. Também deve ter uma parte de texto aleatório que não esteja em nenhum dicionário. Deve ser suficiente para impedir ataques de força bruta baseados em rede.

Como usuário, eu gosto de senhas fáceis de lembrar, mesmo que sejam longas (16 caracteres ou mais). Depois que eu memorizo, posso digitar rápido o suficiente. Talvez, em vez de impor apenas uma política, você deva encontrar maneiras inteligentes de ensinar seus usuários a escolher senhas seguras e fáceis de lembrar, e não apenas um aleatório de caracteres.

Você precisa escolher uma frequência "sensata" para a frequência com que deve ser alterada. Muito rapidamente e as pessoas vão degenerar em <old_password>+<number> (ou algo semelhante), tão lentamente e você aumenta o risco de a senha ser comprometida. Pode valer a pena investigar se há uma regra que você pode configurar para se proteger contra isso.

Você também precisa ter uma regra que diga que uma senha não pode ser reutilizada por tantas mudanças (talvez 10), de modo que as pessoas não estejam apenas trocando entre duas (ou três) senhas para sua conta.

Faça a senha pelo menos alfanumérica com pelo menos um capital. Para torná-lo um pouco mais seguro, adicione também que haja pelo menos um caractere não alfanumérico.

Você poderia ter algo como um gerador de senhas como SuperGenPass . Assim, eles poderiam ter uma senha fraca, mas a string gerada seria extremamente strong. Mas isso seria mais para logins de sites.

Outras opções seriam:

1. Use 1337 speak em senhas.
                        
2. Use fases com pontuação, por ex. Esta, é uma senha muito longa!
3. Junte-se aos dois [Th1s, é uma v3ry v3ry l0ng p4ssw0rd!]

Na sexta-feira, tive que alterar minha senha no site do meu cliente. As regras que eles têm são ridículas. Eles são todos os padrões sobre deve ter letras maiúsculas, pontuação, comprimento mínimo, etc, bem como.

• O primeiro caractere não pode ser um caracter de pontuação.
• Sem palavras de dicionário.
• O mesmo caractere não pode ser usado duas vezes.

O problema é que eles são tão complexos que é quase impossível encontrar um, especialmente porque a mensagem de erro não informa os requisitos adicionais que eles têm.

Liguei para o help desk e eles disseram, basta usar um como este Pa5word # (não a senha real) e depois continuar incrementando o número ....

Eu acho esses sistemas completamente loucos, pois eles impedem que você use senhas, por exemplo, "thisismypasswordforjanurary" é muito fácil de lembrar e muito seguro, mas a maioria dos sistemas não permite esses tipos de frases secretas.

Então, eu votaria em um tamanho mínimo alto, digamos, de 15 a 20 caracteres, de forma que as pessoas não possam usar apenas palavras e as senhas do estilo l33t não sejam necessárias.

Seja o que for que você escolher, eu asseguraria que você documentasse quais são as restrições e por que elas existem e alguns exemplos para os usuários ajudarem a gerá-las.

A maioria das respostas aqui vai direto para sugerir políticas. O que responde a pergunta é bom. Mas, na minha opinião, você precisa se perguntar primeiro: o quão importante é a informação que você está protegendo?

Por exemplo, a política de senha do departamento de defesa para proteger informações confidenciais será bem diferente da política que você usará para contas de e-mail descartáveis.