Eu tenho domínio do Windows que precisa de uma política de senha. Agora não há um. Alguém tem feedback sobre um bom equilíbrio entre as senhas fracas e os usuários que têm senhas tão strongs que apenas os anotam?
Como ninguém tem uma senha expirada, achei que poderia fazer a atualização dos usuários removendo a propriedade "A senha nunca expira" de sua conta de usuário. Dessa forma eu (e o help desk) não fico tão cheio de perguntas / redefinições de senhas. Algum feedback?
O Instituto Nacional de Padrões e Tecnologia (NIST) tem algumas boas publicações sobre tópicos de segurança de computadores . Eles são ótimos recursos ... a publicação que você está procurando é a NIST Special Publication 800-53. (Acredite em mim, não é tão ruim quanto parece)
IMO uma política de senha deve ser algo assim:
Lembre-se de que quanto mais restritiva for sua política, mais vezes você será chamado pelos usuários que precisam de contas desbloqueadas ou redefinição de senhas. Quanto menos restritiva for sua política, maior será o risco de você expor sua organização.
Por padrão, você não pode definir como complexo uma política de senha de domínio é (até pelo menos 2003). Existem maneiras e meios de mudar as regras, mas, do meu ponto de vista, é excepcionalmente complicado, e não para o fingimento do coração. Em outras palavras, você não pode decidir que as senhas dos usuários sejam 3, 2 especiais, 2 numéricas, etc.
Veja o que será definido quando você Ativar a configuração Senha deve atender aos requisitos de complexidade na política de grupo do Domínio Padrão:
Password must meet complexity requirements.
This security setting determines whether passwords must meet complexity requirements. If this policy is enabled, passwords must meet the following minimum requirements:
Not contain the user's account name or parts of the user's full name that exceed two consecutive characters Be at least six characters in length
Contain characters from three of the following four categories:
English uppercase characters (A through Z)
English lowercase characters (a> through z)
Base 10 digits (0 through> 9)
Non-alphabetic characters (for> example, !, $, #, %)
Complexity requirements are enforced when passwords are changed or created.
O que você pode definir, no entanto, é:
Em todos os nossos domínios, usamos complexidade, mínimo de 8 caracteres, idade mínima de 14 dias, idade máxima de 90 dias, 14 histórico de senhas, 5 tentativas de login inválidas, 30 min de duração do bloqueio
O link do duffbeer703 é bom. Existem algumas razões técnicas para determinadas limitações de senha e requisitos mínimos. Você precisa especialmente explorar essas limitações se não estiver em um ambiente completamente homogêneo.
De qualquer forma, a regra dos 8 personagens, três dos quatro grupos de personagens é bastante normal. O que eu pessoalmente faço é treinar meus usuários para criar senhas em vez de senhas. Isso torna a criação de senhas muito mais fácil e não gasta muito tempo tentando descobrir como trabalhar em todos esses requisitos de caracteres. Uma senha como "Está ensolarado. Yippee!" é fácil o suficiente para inventar e lembrar.
Há um problema com essa abordagem, no entanto, se as pessoas usarem a gramática inglesa adequada ao escreverem suas senhas e, assim, limitarem um pouco o número total de combinações possíveis. Ou seja, uma senha que sempre começa com uma letra maiúscula e termina com um período não é mais strong só porque contém uma letra maiúscula e um ponto final, é mais fraca porque podemos adivinhar isso antecipadamente.
As outras regras de domínio padrão do Windows são boas, IMO, exceto pelo fato de eu exigir apenas uma alteração de senha a cada trimestre. Pessoalmente, não sou vendido na noção de expiração de senha. Até trinta dias é uma eternidade se uma conta for comprometida. De qualquer forma, as pessoas ficam realmente iradas quando têm que mudar uma senha.
Como nem os especialistas em segurança podem concordar com um bom termo sobre qualquer coisa relacionada a senhas, digo que a maioria dos conselhos sobre qualquer extremo é simplesmente estúpida, a menos que você esteja especificamente em uma situação de alta segurança. O que eu acho que é mais importante, e o que eu tenho usuários realmente assinar, é uma afirmação semelhante a: "Nunca compartilhe sua senha com ninguém. Eu não me importo QUEM SÃO OU POR QUE PRECISAM DE OBTER EM SEU COMPUTADOR QUANDO VOCÊ ESTÁ EM FÉRIAS. A SEGURANÇA DE SUA SENHA É SUA RESPONSABILIDADE. " O maior abuso de contas do que eu vi vem de pessoas que compartilham senhas. Todas as outras coisas de hacker são quase uma preocupação em um negócio antigo regular.
Bem, você conhece melhor os seus usuários, então se você acha que fazer as senhas expirarem é o caminho a seguir, então vá em frente. É uma boa opção como qualquer outra.
Quanto à política de senhas, é sempre uma troca entre segurança perfeita (ou seja, 13 caracteres, 4 caps, 2 símbolos, 3 números, o resto em minúsculas) e conveniência perfeita (ou seja, nenhuma política, autologin). Basicamente, se você for longe demais para a segurança, encontrará pessoas com suas senhas coladas na parte inferior de seus teclados ou em um post ao lado do monitor, e se você for longe em termos de conveniência, terá pouca segurança e senhas fáceis de adivinhar.
Para a nossa organização, exigimos pelo menos uma senha de 7 caracteres, com pelo menos um número, uma letra maiúscula e uma letra minúscula (um símbolo pode ser usado para qualquer um dos requisitos). Isso parece funcionar bem para nossos usuários, e não recebe nenhum empurrão deles. Boa sorte, espero que isso ajude.
A publicação Nist está OK, sua política de pasword de domínio não é tão importante quanto a educação dos usuários para não compartilharem suas senhas. Não há nada intrinsecamente errado com uma senha que não seja de retorno, desde que ela não esteja colada no teclado e não a compartilhe. Basicamente, qualquer parâmetro que você definir ficará bem, as duas maiores coisas em que pensar são:
limite de bloqueio da conta (tentativas de login inválidas) duração do bloqueio de conta
O que isso limita é a habilidade das pessoas de forçar sua segurança. Eu geralmente recomendo um limiar de 5 e uma duração de 2 horas, mas isso certamente depende da situação. Como apontou Boden, nem mesmo especialistas em sigilo podem concordar sobre o que é uma política de senha segura. Na verdade, eu implementaria isolamento de servidor e domínio antes de me preocupar com minha política de senha. Nesse ponto, eu lhe darei minha senha - você ainda não está usando meus recursos.
Algumas diretrizes do campo:)
Eduque os usuários quanto mais a senha for melhor, mesmo que não seja complexa. (estudo comprovado mostra que uma pequena senha com alta complexidade é quebrada mais rapidamente do que senhas mais simples)
Mantenha a expiração da senha como o múltiplo de 7, como 28, 42, 91. Isso garante que as redefinições de senha periódicas após a expiração sejam distribuídas uniformemente em termos de dias da semana. Isso é importante quando você tem milhares de contas. por exemplo. Se você tiver redefinido sua senha na segunda-feira, sua próxima expiração de senha ocorrerá somente na segunda-feira.
Mantenha uma política sensata de bloqueio de conta. comece com algo moderado e, em seguida, monitore as chamadas de helpdesk relacionadas e ajuste a política de bloqueio conforme necessário. por exemplo. muitas chamadas relaxam um pouco a política de bloqueio.
Se possível, compre um produto de autoatendimento com senha, para que os próprios usuários possam redefinir a senha ou desbloquear suas contas. (Cerca de 30% a 40% das chamadas ao helpdesk estão relacionadas aqui)
Por último, use uma ferramenta de quebra de senha para verificar periodicamente a força da senha definida por pessoas e avisar as pessoas com senhas muito simples para escolher melhor. Lembre-se de que os hackers precisam apenas de uma conta para entrar na sua rede.
Uma coisa importante para lembrar com a senha nunca expira. Depois que você colocar uma política de senha em vigor, se a senha tiver expirado com base na última alteração, assim que você desativar essa sinalização, a senha será expirada. Então você precisa alertar os usuários sobre esse fato.
A recomendação de alta segurança da Microsoft para o Windows Server 2003 costumava ser:
No entanto, isso não ficou bem com os auditores com quem eu interagi. O mais brando que já vi queria um desbloqueio de 24 horas e não mais de 10 falhas em um período de 24 horas com uma expiração de 60 dias. O menos tolerante que já vi não é o desbloqueio automático com não mais que 3 falhas em um período de 24 horas com uma expiração de 30 dias. Todos foram consistentes em um comprimento de caractere mínimo de 8 com complexidade ligada com as 24 senhas completas lembradas.
Você pode implementar senhas em vez de senhas. Então, algo como "Por que as senhas são tão complexas?" poderia ser uma senha.
sim, concordo com adam-brand e descobri funciona na prática, algo para anunciar para seus usuários pode ser esse quadrinho XKCD: