Como convencer os auditores de segurança a alterar a política frequente de mudança de senha?

3

Sou um novo Gerente de TI Junior em uma pequena empresa com cerca de 500 funcionários e a política atual relacionada a senhas impôs a expiração da senha em 30 dias, com um histórico de senhas de 5.

Como você pode entender, isso faz com que as pessoas tenham senhas como janeiro16 e outras, senhas em notas em suas telas. blá blá blá blá ... O comum quando se trata dessas políticas.

O que seria ideal, até onde eu sei, seria uma senha de 10 caracteres com letras maiúsculas, números de letras pequenas e símbolos.

Como presumo que há pessoas aqui que são auditores de segurança, e também outras que têm muito mais experiência nesses assuntos, eu lhe pergunto.

O que eu posso apresentar aos auditores na próxima vez que eles aparecerem, para que eles nos permitam alterar a política de expiração da senha para 1 ano?

Na minha cabeça, eu forneceria dados sobre os pontos strongs de uma senha longa e complexa, bem como dados de aplicativos de recuperação de senha de força bruta em relação a quantos p / s eles podem alcançar com o estado do hardware de arte, bem como um script que será executado uma vez por dia para mostrar se há novas contas no AD que foram criadas para funcionar como uma medida de segurança no caso de alguém conseguir invadir a rede e criar sua própria conta .

Qualquer ajuda será muito apreciada.

    
por Andrew Palaistras 14.01.2016 / 17:24

1 resposta

5

A primeira coisa que gostaria de fazer é descobrir quem realmente define a política de segurança. Aquela informação na mão, sente-se e fale com eles. Pergunte quais são as metas da política de segurança, o que se espera dela e como as políticas atuais alcançam essa meta. A parte mais importante disso é que você ouça as respostas deles.

Existem provavelmente meios mais seguros para alcançar seus objetivos. Primeiro, ter mais personagens supera os requisitos de upper / lower / number / special-char. link e link deve ser um primer suficiente.

Ainda mais seguro é usar o 2FA no lugar de senhas simples.

Como mencionado, a alteração frequente da senha leva a um aumento de senhas esquecidas / incorretas. Isso irá se manifestar em um aumento nas chamadas relacionadas à senha para o helpdesk ou no aumento de senhas escritas ou previsíveis.

A parte mais importante desta conversa é entender os objetivos, entender como as políticas atuais são pensadas para atingir esses objetivos e trabalhar com seus colegas de equipe (lembre-se, é tudo uma empresa. .) evitando confrontos ou insultos.

    
por 14.01.2016 / 17:39