geralmente quanto tempo uma senha será boa? [fechadas]

O tamanho da senha não é tão importante; desde que esteja acima de um certo limite, a complexidade é o que mais importa. Você diz que precisa de alta segurança, então vou recomendar que use algo como um fob RSA em combinação com uma senha.

Por quantas vezes mudá-lo, isso depende realmente. Aplicar uma alteração de senha é um nível de proteção contra uma senha comprometida que ainda não foi usada. Mude com muita freqüência e você só vai incomodar os usuários (e aumentar o risco deles escreverem em algum lugar), mudar com pouca frequência e perder essa proteção. Pode-se argumentar que é um benefício duvidoso.

Mais eficaz contra tentativas de violação de força bruta é alguma forma de bloqueio de conta. Bloquear uma conta por até 30 segundos após 3 senhas incorretas sucessivas interromperá um ataque de força bruta morto em seu rastro.

Fale mais sobre o sistema. É interno ou externo? Quão sensíveis são os dados? Esses são fatores que determinarão se alguma recomendação é excessiva (ou insuficiente).

Consulte Políticas de expiração de senhas para uma boa discussão.

Minha opinião é que, na maioria das situações, forçar alterações de senhas é mais um "teatro de segurança" do que uma segurança real. Especialmente com mais frequência do que 90 dias.

Da minha experiência, quanto mais você pedir a um usuário para alterar sua senha, mais a senha terminará sendo escrita em algo e oculta embaixo do teclado, a menos que o trabalho esteja mantendo senhas secretas, elas têm outras coisas a serem mantidas pense do que lembrar uma nova senha toda semana ou mês.

Como regra geral, eu diria que mais do que qualquer outro mês deveria fazê-lo.

Depende de quem quer invadir seus dados.
Se você não tem dados úteis, então 8 caracteres ee 2 de 4 (letras minúsculas, maiúsculas, números, símbolos) provavelmente são bons.
Se você tem dados levemente úteis, 10 caracteres e 3 de 4 são bons. Se você tiver dados confidenciais, pelo menos, 12 caracteres e todos os 4 de 4. Você também pode considerar a obtenção de porta-chaves RSA ou cartões inteligentes.

E para ler mais sobre o estado atual das senhas de cracking, leia Cracking Passwords in the Cloud .

Como mencionado por outra pessoa, o tempo de alteração da senha é muito subjetivo. Mas em geral 6 meses é um bom período de tempo. Ir mais curto ou longo, se você acha que precisa, você sabe muito mais sobre sua rede do que sobre nós. Ir muito curto levará a notas adesivas presas a monitores com senhas. Demasiado tempo torna viável os ataques de força bruta mais (embora seja muito improvável se tiver um bom mecanismo de bloqueio).

Se você executar o Windows Server 2008, as configurações de segurança padrão serão um bom ponto de partida.

Para obter um benefício sério de segurança de alterações de senha, você precisa alterá-las com mais freqüência do que elas podem ser quebradas. Claro que isso não é prático no mundo real, então você precisa apresentar uma figura arbitrária dependendo de sua própria avaliação de risco. Apenas tenha em mente que quanto mais vezes você forçar as pessoas a mudarem suas senhas, mais fracas e mais previsíveis serão essas senhas. Afinal, eles precisam ser lembrados e ninguém quer aprender uma nova senha complexa regularmente. É possível ter uma política que nega esse fator humano, mas tudo o que você vai fazer então é irritar seus usuários, que começarão a escrever essas senhas, o que naturalmente anula o propósito.