Разумная политика паролей
Для меня определили задачу с соединением политики безопасности компании. Как часть этого я хочу определить то, что является разумным, но безопасным паролем (длина, символы и т.д.), как часто они должны быть изменены, длина истории пароля и так далее.
Очевидно, я должен сбалансировать безопасность относительно практичности.
Что люди обычно рассматривают хорошей политикой паролей?
9 ответов
Википедия имеет хорошую сводку по этой теме
Общие Политики паролей практики пароля часто включают совет относительно надлежащего управления паролями, такого как:
- никогда совместное использование учетной записи компьютера
- никогда не используя тот же пароль больше чем для одной учетной записи
- никогда не говоря пароль никому, включая людей, которые утверждают, что были от обслуживания клиентов или безопасности
- никогда запись пароля
- никогда не передавая пароль по телефону, электронную почту или мгновенный обмен сообщениями
- стараясь для выхода прежде, чем оставить компьютер необслуживаемым
- при изменении паролей каждый раз, когда существует подозрение, они, возможно, были скомпрометированы
- пароли password операционной системы и пароли приложения отличаются
- пароль должен быть алфавитно-цифровым
- сделайте пароли АБСОЛЮТНО случайными, но легкими для Вас помнить
Предложения из Делфта TU:
Характеристики приемлемых паролей
- пароль содержит по крайней мере восемь символов, и
- это содержит по крайней мере одну прописную букву, и
- это содержит по крайней мере одну строчную букву, и
- это содержит по крайней мере одну цифру или другой символ такой как! # % $ ^& () {} [] <>..., и
- это не термин в знакомом языке или жаргоне, и
- это не идентично или полученный из сопроводительного имени учетной записи из персональных характеристик или от информации от семейства, кругового / социального круговой, и
- легко помнить, например, посредством ключевого предложения, и
- это может быть введено бегло.
Лучшие практики для защиты паролей
- избегайте использования того же пароля для работы и частной жизни;
- рассматривайте все пароли как уязвимую информацию и не совместно используйте их с учетными записями коллег, членов семьи или других знакомых;
- не показывайте пароли коллегам, боссу или другим знакомым, ни при нормальных обстоятельствах, ни в случае отпуска или болезни;
- не упоминайте пароль на публике, по телефону или в незашифрованной коммуникации;
- никогда не записывайте пароль в свободно доступном месте;
- не давайте подсказки о мнемосхеме, используемой для запоминания пароля;
- никогда не предоставляйте информацию о пароле в формах безопасности или анкетах;
- если неправильное употребление подозревается, то сообщите об этом организации безопасности и сразу измените все включенные пароли;
- если кто-то хочет знать пароль, то отошлите его к этой политике.
С быстрым увеличением клавиатурных перехватчиков и фишинговыми атаками, Вашей организации может приличествовать рассматривать альтернативы "сильным" паролям. См. блог Bruce Schneier о бумаге, Сильные веб-Пароли Выполняют Что-нибудь?
Я настоятельно рекомендовал бы использовать двухфакторную аутентификацию. Между футболами, SecureID и Yubikey, это очень легко и относительно недорого для реализации второго фактора аутентификации.
Мне нравится Passwordsafe за отслеживание пароли.
Мои предложения:
Поощрите пароли, не слова. Фразу ерунды, составленную из 3-4 слов, легче помнить, чем 8 искаженных символов.
Установите разумное максимальное время жизни. С 3 до 6 месяцев.
Не полагайтесь на 1337, говорят для защиты пароля. Взломщики словаря грубой силы, такие как Трещина делали букву-> изменения числа для близко к 20 годам. Но действительно потребуйте букв, чисел, верхних - и нижний регистр и пунктуация.
Не полагайтесь на неанглийские слова слов для безопасности. Любой дурак может загрузить несколько словарей в программу. Не имеет значения, говорит ли он на языке или нет.
Для персонального материала я использую
- Для важных вещей; Gmail, веб-Хост, Онлайн - банкинг - другое 16-разрядное случайным образом генерировало (A-Za-z0-9), сохраненный в KeePass DB на Dropbox, зашифрованном с комплексом, но легко помнило пароль. Возможно, немного фанатичный, но это не много дополнительной стычки.
- Для общих, менее важных вещей - форумы, связанные с неденьгами учетные записи и т.д., я использую ряд более простых паролей.
Необходимо выбрать "разумную" частоту для того, как часто они должны быть изменены. Слишком быстро и люди ухудшатся в <old_password>+<number> (или что-то подобное), так медленно и Вы увеличиваете риск поставленного под угрозу пароля. Это могло бы стоить исследовать, существует ли правило, которое можно настроить для принятия мер против этого.
Одинаково у Вас должно быть правило, в котором говорится, что пароль не может быть снова использован для такого количества изменений (возможно, 10) так, чтобы люди только подкачали между два (или три) пароли для их учетной записи.
Сделайте пароль, по крайней мере, алфавитно-цифровым по крайней мере с одним капиталом. Для создания это немного более безопасный добавляет, что там получен, чтобы быть по крайней мере одним не буквенно-цифровой знак также.
У Вас могло быть что-то как генератор пароля как SuperGenPass. Таким образом, у них мог быть слабый пароль, но сгенерированная строка будет чрезвычайно сильна. Но это было бы больше для логинов веб-сайта.
Другие опции были бы:
- 1337 использования говорит в паролях.
- Используйте фазы с пунктуацией, например, Этим, очень очень длинный пароль!
- Присоединитесь к двум [Th1s, v3ry v3ry l0ng p4ssw0rd!]
В пятницу я должен был изменить свой пароль на моем клиентском сайте. Правила, которые они имеют, смешны. Они - все стандартные о, должен иметь верхний регистр, пунктуацию, минимальную длину, и т.д. а также.
- Первый символ не может быть знаком пунктуации.
- Никакие слова словаря.
- Тот же символ не может использоваться дважды.
Проблема состоит в том, что они так сложны, почти невозможно найти один, особенно поскольку сообщение об ошибке не говорит Вам дополнительные требования, чтобы они имели.
Я назвал справочную службу, и они сказали, просто используйте один как этот Pa5word# (не действительный пароль) и затем продолжайте увеличивать число....
Я нахожу эти системы абсолютно сумасшедшими, поскольку они мешают Вам использовать пароли, например, "thisismypasswordforjanurary", очень легко помнить и очень безопасный, но большая часть системной привычки позволяет те типы паролей.
Таким образом, я голосовал бы за высокую минимальную длину, сказать 15-20 символов, что способ, которым люди не могут только использовать слова и пароли стиля l33t, не требуется.
Независимо от того, что Вы выбираете, я удостоверился бы Вы документ, что ограничения, и почему они там и некоторые примеры для пользователей, чтобы помочь им генерировать безопасные.
Большинство anwsers здесь переходит прямо к предлагающим политикам. Который действительно отвечает на вопрос, таким образом, это хорошо. Но по-моему необходимо спросить себя это сначала: насколько важный информация, которую Вы защищаете?
Например, политика паролей для министерства обороны для обеспечения конфиденциальной информации будет проуспешно очень отличаться от политики, которую Вы будете использовать для одноразовых почтовых ящиков.
Короткая версия:
Администраторская часть меня говорит что 12-16 символьных паролей и с более низкими и с прописными буквами и числами. Также должен иметь случайную текстовую часть, это не находится ни в каком словаре. Должно быть достаточным для предотвращения основанных на сети атак перебором.
Как пользователь мне нравятся пароли, которые легко помнить, даже при том, что они могли бы быть длинными (16 символов и). После того как я запоминаю его, я могу ввести его достаточно быстро. Возможно, вместо того, чтобы только осуществить политику необходимо найти умные способы учить пользователей выбирать безопасные и легко помнившие пароли, не только случайный блок символов.