Política de senha sensível

Fui encarregado de montar a política de segurança da empresa. Como parte disso, quero definir o que é uma senha sensível, mas segura (tamanho, caracteres, etc.), com que frequência elas devem ser alteradas, o comprimento do histórico de senhas e assim por diante.

Obviamente, preciso equilibrar segurança e praticidade.

O que as pessoas geralmente consideram uma boa política de senha?

A Wikipedia tem um bom resumo sobre este tópico

Prática comum de senha As políticas de senha geralmente incluem conselhos sobre o gerenciamento adequado de senhas, como:

• nunca compartilhando uma conta de computador
• nunca usando a mesma senha para mais de uma conta
• nunca informar uma senha a ninguém, incluindo pessoas que alegam pertencer ao serviço ou segurança do cliente
• nunca anote uma senha
• nunca comunicar uma senha por telefone, email ou mensagem instantânea
• tomando cuidado para fazer logoff antes de deixar um computador sem supervisão
• alterar senhas sempre que houver suspeita de que elas possam ter sido comprometidas
• senha do sistema operacional e senhas de aplicativos são diferentes
• a senha deve ser alfanumérica
• torne as senhas COMPLETAMENTE aleatórias, mas fáceis de lembrar

Sugestões de TU Delft :

Características de senhas aceitáveis

• uma senha contém pelo menos oito caracteres e
• contém pelo menos uma letra maiúscula e
• contém pelo menos uma letra minúscula e
• ele contém pelo menos um dígito ou outro caractere, como! @ # $% ^ & () {} [] <> ... e
• não é um termo em linguagem ou jargão familiar e
• não é idêntico ou derivado do nome da conta que o acompanha, de características pessoais ou de informações da família / círculo social, e
• é fácil lembrar, por exemplo, por meio de uma frase-chave, e
• pode ser digitado fluentemente.

Práticas recomendadas para proteger senhas

• evitar o uso da mesma senha no trabalho e na vida privada;
• considere todas as senhas como informações confidenciais e não as compartilhe com as contas de colegas, familiares ou outros conhecidos;
• não revele senhas a colegas, chefe ou outros conhecidos, nem em circunstâncias normais nem em caso de licença ou doença;
• não mencione nenhuma senha em público, por telefone ou em comunicação não criptografada;
• nunca anote uma senha em um local livremente acessível;
• não dê nenhuma dica sobre o mnemônico usado para lembrar sua senha;
• nunca forneça informações sobre uma senha em questionários ou formulários de segurança;
• se houver suspeita de uso indevido, relate isso à organização de segurança e altere imediatamente todas as senhas envolvidas;
• se alguém quiser saber uma senha, encaminhe-o para esta política.

Com a proliferação de keyloggers e ataques de phishing, pode ser necessário que sua organização considere alternativas a senhas "fortes". Veja o blog de Bruce Schneier sobre o artigo As senhas fortes da Web realizam alguma coisa?

Eu sugeriria fortemente o uso da autenticação de dois fatores. Entre bolas de futebol, SecureID e Yubikey , é muito fácil e relativamente barato implementar um segundo fator de autenticação.

Eu gosto do Passwordsafe para acompanhar senhas.

Minhas sugestões:

• Incentive frases secretas, não palavras. Uma frase sem sentido composta de 3-4 palavras é mais fácil de lembrar do que 8 caracteres ilegíveis.

• Defina uma vida útil máxima razoável. De 3 a 6 meses.

• Não confie no 1337 speak para proteger uma senha. Os invasores do dicionário de força bruta, como o Crack , realizam alterações de número de letras> por quase 20 anos. Mas exija letras, números, maiúsculas e minúsculas e pontuação.

• Não confie em palavras que não sejam do inglês para segurança. Qualquer tolo pode carregar vários dicionários em um programa. Não importa se ele fala o idioma ou não.

Para coisas pessoais que eu uso

• Para coisas importantes; GMail, Web Host, banco on- line - um 16-bit diferente gerado aleatoriamente (A-Za-z0-9) armazenado em um banco de dados KeePass no DropBox criptografado com uma frase secreta complexa, mas fácil de lembrar. Talvez um pouco excessivamente zeloso, mas não seja muito complicado.
• Para coisas comuns e menos importantes - fóruns, contas não relacionadas a dinheiro, etc., eu uso um conjunto de senhas mais simples.

Você precisa escolher uma frequência "sensível" para a frequência com que elas devem ser alteradas. Muito rapidamente e as pessoas degeneram em <old_password>+<number>(ou algo semelhante), tão lentamente e você aumenta o risco de a senha ser comprometida. Talvez valha a pena investigar se existe uma regra que você pode configurar para se proteger contra isso.

Da mesma forma, você precisa ter uma regra que diga que uma senha não pode ser reutilizada para tantas alterações (talvez 10), para que as pessoas não estejam apenas trocando entre duas (ou três) senhas da conta.

Torne a senha pelo menos alfanumérica com pelo menos um capital. Para torná-lo um pouco mais seguro, adicione que também deve haver pelo menos um caractere não alfanumérico.

Você poderia ter algo como um gerador de senhas como o SuperGenPass . Eles poderiam ter uma senha fraca, mas a sequência gerada seria extremamente forte. Mas isso seria mais para logins de sites.

Outras opções seriam:

1. Use 1337 falar em senhas.
2. Use fases com pontuação, por exemplo: Esta é uma senha muito, muito longa!
3. Junte-se aos dois [Th1s, é um v3ry v3ry l0ng p4ssw0rd!]

Na sexta-feira, tive que alterar minha senha no site do meu cliente. As regras que eles têm são ridículas. Todos eles são padrão e devem ter letras maiúsculas, pontuação, comprimento mínimo, etc.

• O primeiro caractere não pode ser um caractere de pontuação.
• Sem palavras no dicionário.
• O mesmo caractere não pode ser usado duas vezes.

O problema é que eles são tão complexos que é quase impossível encontrar um, principalmente porque a mensagem de erro não informa os requisitos adicionais que eles possuem.

Liguei para o suporte técnico e eles disseram: basta usar um como este Pa5word # (não a senha real) e continuar aumentando o número ....

Acho esses sistemas completamente loucos, pois eles impedem o uso de frases secretas, por exemplo, "thisismypasswordforjanurary" é muito fácil de lembrar e muito seguro, mas a maioria dos sistemas não permite esses tipos de frases secretas.

Então, eu votaria em um tamanho mínimo alto, digamos 15 a 20 caracteres para que as pessoas não usem apenas palavras e senhas no estilo L33T não sejam necessárias.

Qualquer que seja a sua escolha, garanto que você documente quais são as restrições, e por que elas existem e alguns exemplos para os usuários ajudá-los a gerar as seguras.

A maioria das respostas aqui vai diretamente para sugestões de políticas. O que responde à pergunta, então isso é bom. Mas, na minha opinião, você deve se perguntar isso primeiro: qual a importância da informação que você está protegendo?

Por exemplo, a política de senha do departamento de defesa para proteger informações confidenciais será bastante diferente da política que você usará para contas de email descartáveis.

Versão curta:

A parte administrativa de mim diz senhas de 12 a 16 caracteres, com letras e números em maiúsculas e minúsculas. Também deve ter uma parte de texto aleatória que não esteja em nenhum dicionário. Deve ser suficiente para impedir ataques de força bruta baseados em rede.

Como usuário, gosto de senhas fáceis de lembrar, mesmo que sejam longas (16 caracteres ou mais). Depois de memorizá-lo, posso digitá-lo rápido o suficiente. Talvez, em vez de apenas aplicar uma política, você encontre maneiras inteligentes de ensinar seus usuários a escolher senhas seguras e fáceis de lembrar, e não apenas pedaços aleatórios de caracteres.