Есть ли у кого-нибудь ресурсы для определения разумной политики паролей для моих пользователей? Я лично склоняюсь к тому, чтобы повысить сложность паролей и позволить им менять их реже в качестве своеобразного компромисса. Похоже, что сейчас мой средний пользователь более терпим к вкраплениям цифр и специальных символов, чем 5 или 10 лет назад. Я ищу эмпирические правила и/или ресурсы, которые я могу использовать для обоснования предлагаемых изменений в политике.
(Я далеко не гуру в области безопасности, так что, если это слишком туманно, давайте сузим вопрос до паролей для внутренних сетей Windows, хотя мне было бы интересно узнать, что люди делают в отношении политики VPN и веб-служб).
Ответ 1
В этой теме есть разумный вклад Джина Спаффорда из CERIAS в Пердью. Вот неполная цитата:
Так откуда же взялся диктум «менять пароли раз в месяц»? В те времена, когда люди использовали мэйнфреймы без сети, самой большой проблемой неконтролируемой аутентификации был взлом. Однако ресурсы были ограничены. Насколько я могу судить, некоторые подрядчики Министерства обороны провели расчеты, сколько времени потребуется, чтобы перебрать все возможные пароли, используя свой мэйнфрейм, и в результате получили несколько месяцев. Поэтому они (в некоторой степени разумно) установили период смены паролей раз месяц в качестве средства борьбы с систематическими попытками взлома. Затем это было закреплено в политике, которая была опубликована и в значительной степени принята другими компаниями в течение многих лет. Со временем аудиторы начали обращать на это внимание и в итоге включили это в свои «лучшие практики», которые они ожидали. Это также вошло в несколько списков рекомендаций по безопасности.
И это несмотря на то, что любой разумный анализ показывает, что ежемесячная смена паролей практически не влияет на повышение безопасности!
Это «лучшая практика», основанная на опыте 30-летней давности с несетевыми мэйнфреймами в среде Министерства обороны – вряд ли она подходит для современных систем, особенно в академических кругах!
Ответ 2
Политика должна отражать то, для чего пользователи используют компьютеры, насколько важную информацию они на них обрабатывают. Если компьютер служит только для хранения предпочтений пользователей, вам не нужно сильно укреплять его, если все остальное на месте для отражения атак. Если же дело обстоит наоборот, то я бы предпочел иметь рассерженных пользователей, стонущих о сложных паролях, которые нужно помнить.
У меня в голове постоянно находится около 20 сложных паролей, и я начал создавать их, используя узоры на клавиатуре, чтобы запомнить их. Это упрощает задачу, поскольку мне нужно знать только отправную точку и то, какой узор нужно сделать. Все ненавидят менять пароли, но эта техника позволяет мне легко менять их и запоминать, так что безопасность обеспечена... по крайней мере, для меня. Я могу даже записать одну букву на листке бумаги и вспомнить, какой узор нужно сделать, а я не очень хорошо запоминаю такие вещи. Однако, возможно, это кому-то пригодится... Запись сложного пароля без его обфускации кажется мне просто неправильной. Если кто-то пытается взломать компьютер физически, можете быть уверены, что он будет искать какую-то подсказку для этого.
Ответ 3
Я полагаю, что, когда я работал в медицинском учреждении, некоторые из наших требований вытекали из HIPAA. Я не изучал правила SOX (которых, полагаю, теперь придерживаются в мире страхования), но они могут содержать схожие формулировки в качестве основы для такого рода вещей. Кроме того, если вы являетесь частью более крупной ИТ-организации (подразделение в более крупной корпорации), у корпорации могут быть правила, которых можно придерживаться. В итоге, какая бы политика ни была внедрена, она должна быть закреплена высшим руководством и, желательно, записана в политике безопасности или ИТ-политике, о которой должны знать/придерживаться все сотрудники. Она не должна быть драконовской (менять пароль каждые 180 дней, комбинация букв и цифр), но она должна быть политикой компании, чтобы все четко понимали требования.
Ответ 4
Было несколько хороших ответов, поэтому я просто добавлю это:
До тех пор, пока вы не сможете убедиться, что вы можете быть освобождены от политики... У меня хорошая память, поэтому лично я предпочитаю иметь возможность использовать 18-символьный пароль, до смешного сложный, в течение 6 месяцев или более, чем простой, который я должен менять раз в месяц.
Следует помнить, что 16-символьный пароль, в котором используются только строчные и заглавные буквы и пробелы, дает 53^16 комбинаций или 3,876*10^27, тогда как 10-символьный пароль, в котором используются строчные и заглавные буквы, цифры и символы, дает только 95^10 или 5,987*10^19 вариантов.
Ответ 5
Существует масса материалов по политике паролей. Я рекомендую взглянуть на следующие:
Статья в Википедии о политике паролей.
Документ SANS о политике паролей.
Проект NIST sp800-118 под названием «Руководство по управлению паролями на предприятии».
Теперь следует сказать кое-что о разумности паролей. Дело в том, что пароли, которые трудно запомнить, записываются. То же самое касается паролей, которые нужно менять слишком часто. В итоге все зависит от того, что вы защищаете, и от вашей пользовательской базы.
Security