Для меня определили задачу с соединением политики безопасности компании. Как часть этого я хочу определить то, что является разумным, но безопасным паролем (длина, символы и т.д.), как часто они должны быть изменены, длина истории пароля и так далее.
Очевидно, я должен сбалансировать безопасность относительно практичности.
Что люди обычно рассматривают хорошей политикой паролей?
Википедия имеет хорошую сводку по этой теме
Общие Политики паролей практики пароля часто включают совет относительно надлежащего управления паролями, такого как:
Предложения из Делфта TU:
Характеристики приемлемых паролей
Лучшие практики для защиты паролей
С быстрым увеличением клавиатурных перехватчиков и фишинговыми атаками, Вашей организации может приличествовать рассматривать альтернативы "сильным" паролям. См. блог Bruce Schneier о бумаге, Сильные веб-Пароли Выполняют Что-нибудь?
Я настоятельно рекомендовал бы использовать двухфакторную аутентификацию. Между футболами, SecureID и Yubikey, это очень легко и относительно недорого для реализации второго фактора аутентификации.
Мне нравится Passwordsafe за отслеживание пароли.
Мои предложения:
Поощрите пароли, не слова. Фразу ерунды, составленную из 3-4 слов, легче помнить, чем 8 искаженных символов.
Установите разумное максимальное время жизни. С 3 до 6 месяцев.
Не полагайтесь на 1337, говорят для защиты пароля. Взломщики словаря грубой силы, такие как Трещина делали букву-> изменения числа для близко к 20 годам. Но действительно потребуйте букв, чисел, верхних - и нижний регистр и пунктуация.
Не полагайтесь на неанглийские слова слов для безопасности. Любой дурак может загрузить несколько словарей в программу. Не имеет значения, говорит ли он на языке или нет.
Для персонального материала я использую
Необходимо выбрать "разумную" частоту для того, как часто они должны быть изменены. Слишком быстро и люди ухудшатся в <old_password>+<number>
(или что-то подобное), так медленно и Вы увеличиваете риск поставленного под угрозу пароля. Это могло бы стоить исследовать, существует ли правило, которое можно настроить для принятия мер против этого.
Одинаково у Вас должно быть правило, в котором говорится, что пароль не может быть снова использован для такого количества изменений (возможно, 10) так, чтобы люди только подкачали между два (или три) пароли для их учетной записи.
Сделайте пароль, по крайней мере, алфавитно-цифровым по крайней мере с одним капиталом. Для создания это немного более безопасный добавляет, что там получен, чтобы быть по крайней мере одним не буквенно-цифровой знак также.
У Вас могло быть что-то как генератор пароля как SuperGenPass. Таким образом, у них мог быть слабый пароль, но сгенерированная строка будет чрезвычайно сильна. Но это было бы больше для логинов веб-сайта.
Другие опции были бы:
В пятницу я должен был изменить свой пароль на моем клиентском сайте. Правила, которые они имеют, смешны. Они - все стандартные о, должен иметь верхний регистр, пунктуацию, минимальную длину, и т.д. а также.
Проблема состоит в том, что они так сложны, почти невозможно найти один, особенно поскольку сообщение об ошибке не говорит Вам дополнительные требования, чтобы они имели.
Я назвал справочную службу, и они сказали, просто используйте один как этот Pa5word# (не действительный пароль) и затем продолжайте увеличивать число....
Я нахожу эти системы абсолютно сумасшедшими, поскольку они мешают Вам использовать пароли, например, "thisismypasswordforjanurary", очень легко помнить и очень безопасный, но большая часть системной привычки позволяет те типы паролей.
Таким образом, я голосовал бы за высокую минимальную длину, сказать 15-20 символов, что способ, которым люди не могут только использовать слова и пароли стиля l33t, не требуется.
Независимо от того, что Вы выбираете, я удостоверился бы Вы документ, что ограничения, и почему они там и некоторые примеры для пользователей, чтобы помочь им генерировать безопасные.
Большинство anwsers здесь переходит прямо к предлагающим политикам. Который действительно отвечает на вопрос, таким образом, это хорошо. Но по-моему необходимо спросить себя это сначала: насколько важный информация, которую Вы защищаете?
Например, политика паролей для министерства обороны для обеспечения конфиденциальной информации будет проуспешно очень отличаться от политики, которую Вы будете использовать для одноразовых почтовых ящиков.
Короткая версия:
Администраторская часть меня говорит что 12-16 символьных паролей и с более низкими и с прописными буквами и числами. Также должен иметь случайную текстовую часть, это не находится ни в каком словаре. Должно быть достаточным для предотвращения основанных на сети атак перебором.
Как пользователь мне нравятся пароли, которые легко помнить, даже при том, что они могли бы быть длинными (16 символов и). После того как я запоминаю его, я могу ввести его достаточно быстро. Возможно, вместо того, чтобы только осуществить политику необходимо найти умные способы учить пользователей выбирать безопасные и легко помнившие пароли, не только случайный блок символов.