Política de idade / complexidade da senha do usuário

18

Alguém tem algum recurso para determinar uma política de senha razoável para meus usuários? Minha tendência pessoal é aumentar a complexidade da senha e permitir que eles sejam alterados com menos frequência como uma espécie de compromisso. Parece que meu usuário médio tem uma tolerância maior em misturar alguns números e caracteres especiais do que há 5 ou 10 anos atrás.

Estou procurando regras práticas e / ou recursos que possam ser usados ​​para fazer backup de minhas alterações de política propostas. Ou até mesmo informações anedóticas daqueles com mais experiência.

(Estou longe de ser um guru da segurança, por isso, se for muito vago, vamos restringir a questão a ser aplicada apenas às senhas de rede internas do Windows, embora eu esteja interessado no que as pessoas estão fazendo em termos de VPN e Web. política de serviço)

security password Kara Marfia
fonte
Você pode nos contar mais sobre o ambiente de software ao qual precisa adaptar isso? Windows, * nix, Plan9 ... ???
quux
Mais uma questão de política do que específica de tecnologia. Provavelmente faz fronteira com uma discussão religiosa para saber se você precisaria de uma política diferente para windows x * nix boxes? ;)
Kara Marfia

Respostas:

20

No mundo de hoje dos ataques aleatórios de senha de força bruta, costumo concordar com a afirmação de que: uma boa senha escrita é melhor do que uma senha memorizada fácil de adivinhar

Brent
fonte
11
Você esqueceu: ... anotado e guardado em um lugar secreto. Não, colocando-o sob o teclado não contar ;-)
John Smithers
2
Na verdade, eu INCLUIRIA "escrito e gravado no monitor à vista" - simplesmente porque muitos ataques ocorrem remotamente, que uma senha ruim é um risco MUITO maior.
Brent
2
Para as pessoas que esquecem suas senhas, recomendo que, se tiverem que anotá-las, o façam e as ponham na carteira ou na bolsa. As pessoas não tendem a deixar aqueles em torno de mentir e também aviso se eles desapareceram;)
Nathan
4
Não não. Você anota a senha correta e a armazena na carteira, depois anota a senha errada e a coloca sob o teclado. Se a sua conta estiver bloqueada, ligue para a equipe de segurança.
Romandas
11
Sempre que escrevo uma senha, pratico adicionando alguns caracteres ao começo e ao fim. Eu sei que eles são extras, mas ninguém mais faria. Eu acho que isso não funcionaria tão bem com as palavras do dicionário.
Brent
10

Aqui está uma boa comparação da força da senha:

http://www.lockdown.co.uk/?pg=combi

Scott
fonte
Por que isso está sendo rejeitado? Parece-me que é isso que o autor estava querendo.
475 Scott
Como é exatamente o tipo de informação que eu estava procurando, talvez minha pergunta tenha sido falha? Acho que as pessoas se opõem às respostas simples de hiperlink, mas não tenho certeza do que mais precisa ser dito.
5292 Kara Marfia
Você poderia escrever algo sobre o link na sua resposta, por exemplo, por que você acha que esse link é uma boa leitura sobre a pergunta?
Sam
9

Você está fazendo a coisa certa, considerando com o que seus usuários estão dispostos a trabalhar. Se você forçar senhas altamente complexas que precisam ser alteradas com frequência, verá que o consumo de notas post-it disparará.


fonte
+1 para obter o representante de Jon off de "666" ;-)
tomjedrz
@ tomjerdz: obrigado. Eu fiz tirar um screenshot, embora;)
é isso que meu empregador faz agora: 60 dias, "3-de-4" e nenhuma repetição nos últimos 24. Portanto, todo mundo cria "variações de tema" fáceis de lembrar. Infelizmente, não é tão "seguro" como deveria ser.
Warren
6

Há uma contribuição sensata para este tópico de Gene Spafford no CERIAS de Purdue . Aqui está uma citação parcial:

Então, de onde veio o ditado "alterar senhas uma vez por mês"? Nos dias em que as pessoas usavam mainframes sem rede, a maior preocupação de autenticação não controlada era o crack. Os recursos, no entanto, eram limitados. Pelo melhor que pude encontrar, alguns contratados do Departamento de Defesa fizeram alguns cálculos detalhados sobre quanto tempo levaria para executar todas as senhas possíveis usando seu mainframe, e o resultado foi de vários meses. Portanto, eles (de maneira razoavelmente) definem um período de alteração de senha de 1 mês como forma de derrotar tentativas sistemáticas de cracking. Isso foi então consagrado na política, publicada e amplamente aceita por outras pessoas ao longo dos anos. Com o passar do tempo, os auditores começaram a procurar por isso e acabaram incorporando-o às “melhores práticas” esperadas.

Apesar de qualquer análise razoável mostrar que uma alteração mensal de senha tem pouco ou nenhum impacto final na melhoria da segurança!
É uma “melhor prática” baseada na experiência de 30 anos atrás com mainframes não conectados à rede em um ambiente DoD - dificilmente compatível com os sistemas atuais, especialmente na academia!

Liudvikas Bukys
fonte
+1 Interessante. Eu sempre me perguntei de quem era essa idéia.
Sleske 21/05
4

Sou muito mais a favor de uma senha mais longa (que, realisticamente, significa como em frases com várias palavras em que você vai se lembrar delas) em vez de misturar palavras e números. Se você forçar as pessoas a adicionar números, é mais provável que façam coisas simples, como substituir i por 1 etc., o que não lhe garante muita segurança.

http://www.iusmentis.com/security/passphrasefaq/

Wilka
fonte
As senhas são uma melhoria definitiva em relação às senhas em termos de memorização e complexidade.
Chris Upchurch
4

Há toneladas de material nas políticas de senha. Eu recomendo dar uma olhada

Agora, algo deve ser dito sobre a integridade da senha . O fato é que as senhas difíceis de lembrar são anotadas. O mesmo vale para senhas que precisam ser alteradas com muita frequência. A linha inferior, depende do que você está protegendo e sua base de usuários.

Pierre-Luc Simard
fonte
3

A política deve refletir para que os usuários estão usando os computadores, como as informações confidenciais são manipuladas pelo usuário. Se é apenas para conter as preferências do usuário, você realmente não precisa disso muito fortalecido, se tudo estiver disponível para repelir ataques. Se o oposto é o caso, eu preferiria ter irritado os usuários que reclamavam de senhas complexas para lembrar.

Eu tenho cerca de 20 senhas complexas em minha cabeça o tempo todo e comecei a criá-las usando padrões no teclado para lembrá-las. Isso facilita, pois eu só preciso saber o ponto de partida e que tipo de padrão fazer. Todo mundo odeia alterar senhas, mas essa técnica me permite alterá-las facilmente e lembrá-las, para que a segurança seja rigorosa ... para mim, pelo menos. Posso até anotar uma carta em um pedaço de papel e ainda lembrar qual padrão fazer, e não me lembro muito bem das coisas. Se isso tem algum uso para alguém no entanto .. eu não sei.

Escrever uma senha complexa sem ofuscar parece errado para mim. Se alguém está tentando invadir um computador fisicamente, pode ter certeza de que ele procurará algum indicador.

A fada
fonte
1

Acredito que, quando trabalhei em uma instituição de saúde, alguns de nossos requisitos vieram do HIPAA. Eu não olhei para os registros SOX (que acho que agora aderem ao mundo dos seguros), mas eles podem ter uma linguagem semelhante como base para esse tipo de coisa.

Além disso, se você faz parte de uma organização de TI maior (subdivisão em uma corporação maior), a corporação pode ter regras que podem ser seguidas.

O ponto principal é que, qualquer que seja a política implementada, ela será abençoada pela gerência sênior e, de preferência, escrita em uma política de segurança ou de TI da qual todos os funcionários precisam estar cientes / aderentes. Ele não precisa ser draconiano (alterar a senha a cada 180 dias, combinação de alfa e números), mas deve ser a política da empresa para que todos sejam claros quanto ao requisito.

Milner
fonte
0

Foram algumas boas sugestões, então apenas adicionarei:

Contanto que você seja capaz de se isentar da política ... Tenho uma boa memória, então, pessoalmente, prefiro poder usar uma senha de 18 caracteres que seja ridiculamente complexa por 6 meses ou mais do que um simples que eu tenho que mudar uma vez por mês.

Lembre-se de que uma senha de 16 caracteres que usa apenas letras e espaços em minúsculas e maiúsculas fornece 53 ^ 16 combinações ou 3.876 * 10 ^ 27, enquanto que as senhas de 10 caracteres que usam letras minúsculas e maiúsculas, números e símbolos fornecem apenas 95 ^ 10 ou 5.987 * 10 ^ 19.

o dave
fonte