Alguém tem algum recurso para determinar uma política de senha razoável para meus usuários? Minha inclinação pessoal é aumentar a complexidade da senha e permitir que ela as altere com menos frequência, como uma espécie de compromisso. Parece que meu usuário médio tem uma tolerância maior para misturar alguns números e caracteres especiais do que eles tinham 5 ou 10 anos atrás.
Estou procurando regras gerais e / ou recursos que eu possa usar para fazer backup de minhas alterações de política propostas. Ou até informações informais de pessoas com mais experiência.
(Eu estou longe de ser um guru de segurança, então se for apenas para lidar com isso, vamos restringir a questão a se aplicar apenas a senhas de rede internas do Windows, embora eu esteja interessado no que as pessoas estão fazendo em termos de Política de VPN e serviço da web)
Aqui está uma boa comparação da força da senha:
Você está fazendo a coisa certa considerando o que seus usuários estão dispostos a trabalhar. Se você forçar senhas altamente complexas que devem mudar com frequência, você perceberá que o consumo da nota de post-it vai disparar.
Há uma contribuição sensata para este tópico de Gene Spafford no CERIAS . Aqui está uma citação parcial:
So where did the “change passwords once a month” dictum come from? Back in the days when people were using mainframes without networking, the biggest uncontrolled authentication concern was cracking. Resources, however, were limited. As best as I can find, some DoD contractors did some back-of-the-envelope calculation about how long it would take to run through all the possible passwords using their mainframe, and the result was several months. So, they (somewhat reasonably) set a password change period of 1 month as a means to defeat systematic cracking attempts. This was then enshrined in policy, which got published, and largely accepted by others over the years. As time went on, auditors began to look for this and ended up building it into their “best practice” that they expected. It also got written into several lists of security recommendations.
This is DESPITE the fact that any reasonable analysis shows that a monthly password change has little or no end impact on improving security!
It is a “best practice” based on experience 30 years ago with non-networked mainframes in a DoD environment—hardly a match for today’s systems, especially in academia!
Sou muito mais a favor de senhas mais longas (o que, realisticamente, significa que em frases de várias palavras você vai se lembrar delas) em vez de misturar palavras e números. Se você forçar as pessoas a adicionar números, é mais provável que eles façam coisas simples, como substituir i por 1, etc., o que não lhe dá muita segurança.
Existem toneladas de material nas Políticas de Senha. Eu recomendo dar uma olhada em
Agora, algo deve ser dito sobre sanidade da senha . O fato é que as senhas difíceis de lembrar são escritas. O mesmo vale para senhas que devem ser alteradas com muita freqüência. O resultado final depende do que você está protegendo e da sua base de usuários.
A política deve refletir para o que os usuários estão usando os computadores e como as informações confidenciais que o usuário manipula. Se é apenas para conter as preferências dos usuários, você realmente não precisa fortificá-lo se tudo o mais estiver no lugar para repelir ataques. Se o oposto for o caso, eu preferiria que os usuários irritados se queixassem de senhas complexas para lembrar.
Tenho cerca de 20-algumas senhas complexas na minha cabeça o tempo todo, e comecei a criá-las usando padrões no teclado para lembrá-las. Isso torna mais fácil, pois eu só preciso saber o ponto de partida e que tipo de padrão fazer. Todo mundo odeia mudar senhas, mas essa técnica me permite mudá-las facilmente e lembrá-las, então a segurança é apertada ... pelo menos para mim. Posso até anotar uma carta em um pedaço de papel e ainda relembrar o padrão a ser feito, e realmente não me lembro bem das coisas. Se isso tem algum uso para qualquer pessoa no entanto .. Eu não sei.
Escrever uma senha complexa sem ofuscar parece errado para mim. Se alguém está tentando invadir um computador fisicamente, você pode ter certeza de que eles procurarão algum aviso.
Eu acredito, quando trabalhei para uma instituição de saúde, que algumas das nossas necessidades vieram da HIPAA. Eu não olhei para os regs SOX (que eu acho que agora adiro no mundo dos seguros), mas eles podem ter uma linguagem similar como base para esse tipo de coisa.
Além disso, se você fizer parte de uma organização de TI maior (subdivisão em uma corporação maior), a corporação pode ter regras que podem ser seguidas.
A linha de fundo precisa ser que, qualquer que seja a política implementada, ela será abençoada pela gerência sênior e, de preferência, deve ser redigida em uma política de segurança ou de TI que todos os funcionários precisam conhecer / aderir. Ele não precisa ser draconiano (altere a senha a cada 180 dias, combinação de alfa e numérico), mas deve ser a política da empresa para que todos sejam claros quanto ao requisito.
Fiz algumas boas sugestões, então vou adicionar isso:
Desde que você possa ter certeza de que você pode ser isento da política ... Eu tenho uma boa memória, então pessoalmente eu prefiro poder usar uma senha de 18 caracteres que é ridiculamente complexa por 6 meses ou mais do que um simples que eu tenho que mudar uma vez por mês.
Lembre-se de que uma senha de 16 caracteres que usa apenas letras minúsculas e maiúsculas e espaços dá 53 ^ 16 combinações ou 3.876 * 10 ^ 27, enquanto 10 senhas de caracteres que usam letras maiúsculas e minúsculas, números e símbolos fornecem apenas 95 ^ 10 ou 5,987 * 10 ^ 19.