Alterando a política de senha do Windows [closed]

3

Atualmente, temos o padrão quase definitivo de exigir senhas complexas em nosso domínio do Windows AD. Mas esse cartoon do XKCD chamou minha atenção há alguns meses, quando surgiu em Coding Horror (eu acho):

link

Alguém alterou sua política de senha como esta, ou seja, exige uma frase longa em oposição a uma mais curta com caracteres não alfa? Em caso afirmativo, você teve algum problema com auditorias de terceiros? Muitas vezes somos auditados por nossos clientes farmacêuticos e não tenho certeza se eles aceitariam isso.

Faz muito sentido para mim - especialmente quando alguém descobre senhas escritas porque elas não podem ser lembradas.

    
por Rob Nicholson 13.02.2012 / 16:23

2 respostas

2

Sim. Você terá problemas com auditorias PCI e auditorias federais se tiver clientes federais e outros tipos de auditores.

Mesmo que uma senha fácil de lembrar com 32 caracteres seja tecnicamente mais segura, os auditores não se importam - eles apenas têm políticas que exigem determinados requisitos de complexidade de senha, e eles entrarão em seu caso se você se desviar .

Por exemplo, minha empresa tem um auditor que exige explicitamente que os requisitos de complexidade de senha padrão do Active Directory (2008R2) sejam usados. Esses requisitos de complexidade de senha incluem limites, caracteres especiais, etc.

edit: Portanto, até que ocorra essa mudança de paradigmas na complexidade da senha, incentive seus usuários a usar um bom programa de gerenciamento de senhas como o KeePass, o LastPass ou qualquer outra coisa.

    
por 13.02.2012 / 19:13
1

Uma sentença escrita corretamente passa a Configuração de complexidade da senha do Windows AD. "Eu amo meu cachorro Barney." tem três tipos de caracteres, que é o que o Windows quer (pelo menos). Obviamente, passa o requisito de comprimento. Assim, as "frases secretas" podem facilmente obedecer às políticas de senha do AD.

Você não pode impor tecnicamente as frases secretas, por isso é realmente uma mudança cultural que você deve defender com seus usuários. Envie e-mails informativos para eles, instruindo-os sobre como usar as senhas e as senhas e, em seguida, diga-lhes que você aumentará o mínimo para 10, mas eles poderão usar frases secretas para facilitar a vida ... apenas como um exemplo .

Este debate não é novo e eu fui vendido em 2004 por Jason Fossen da SANS fama com o maravilhoso Planilha de Análise de Cracking de Senha .

    
por 22.02.2012 / 04:02