Chính sách độ tuổi / độ phức tạp của mật khẩu người dùng

Có ai có bất kỳ tài nguyên nào để xác định chính sách mật khẩu hợp lý cho người dùng của tôi không? Sự nghiêng về cá nhân của tôi là tăng cường độ phức tạp của mật khẩu và cho phép họ thay đổi chúng ít thường xuyên hơn như một kiểu thỏa hiệp. Có vẻ như người dùng trung bình của tôi có dung sai cao hơn để trộn vào một số số và ký tự đặc biệt so với 5 hoặc 10 năm trước.

Tôi đang tìm quy tắc ngón tay cái và / hoặc tài nguyên mà tôi có thể sử dụng để sao lưu các thay đổi chính sách được đề xuất của mình. Hoặc thậm chí thông tin giai thoại từ những người có nhiều kinh nghiệm.

(Tôi ở xa một chuyên gia bảo mật, vì vậy nếu điều đó chỉ mơ hồ để giải quyết, hãy thu hẹp câu hỏi chỉ áp dụng cho mật khẩu mạng Windows nội bộ, mặc dù tôi quan tâm đến những gì mọi người đang làm về VPN và web chính sách dịch vụ)

Trong thế giới tấn công mật khẩu ngẫu nhiên ngày nay, tôi có xu hướng đồng ý với tuyên bố rằng: một mật khẩu tốt được viết ra sẽ tốt hơn một mật khẩu ghi nhớ dễ đoán

Đây là một so sánh tốt về sức mạnh mật khẩu:

http://www.lockdown.co.uk/?pg=combi

Bạn đang làm điều đúng đắn bằng cách xem xét những gì người dùng của bạn sẵn sàng làm việc. Nếu bạn buộc các mật khẩu rất phức tạp phải thay đổi thường xuyên, bạn sẽ thấy mức tiêu thụ lưu ý sau đó sẽ tăng vọt.

Có một đóng góp hợp lý cho chủ đề này từ Gene Spafford tại Purdue's CERIAS . Đây là một phần trích dẫn:

Vì vậy, những người đã thay đổi mật khẩu mỗi tháng một lần, dictum đến từ đâu? Quay trở lại thời mà mọi người đang sử dụng máy tính lớn mà không cần kết nối mạng, mối quan tâm xác thực không kiểm soát lớn nhất là bẻ khóa. Tài nguyên, tuy nhiên, bị hạn chế. Theo như tôi có thể tìm thấy, một số nhà thầu DoD đã thực hiện một số tính toán ngược về thời gian cần thiết để chạy qua tất cả các mật khẩu có thể sử dụng máy tính lớn của họ và kết quả là vài tháng. Vì vậy, họ (phần nào hợp lý) đặt thời gian thay đổi mật khẩu là 1 tháng như một phương tiện để đánh bại các nỗ lực bẻ khóa có hệ thống. Điều này sau đó được quy định trong chính sách, được công bố và phần lớn được chấp nhận bởi những người khác trong những năm qua. Thời gian trôi qua, các kiểm toán viên bắt đầu tìm kiếm điều này và cuối cùng đã xây dựng nó thành chương trình thực hành tốt nhất của họ mà họ mong đợi.

Đây là MÔ TẢ thực tế là bất kỳ phân tích hợp lý nào cho thấy rằng việc thay đổi mật khẩu hàng tháng có ít hoặc không có tác động cuối cùng trong việc cải thiện bảo mật!
Đây là một cách thực hành tốt nhất của người Viking dựa trên kinh nghiệm 30 năm trước với các máy tính lớn không có mạng trong môi trường DoD, hầu như không phù hợp với các hệ thống ngày nay, đặc biệt là trong giới hàn lâm!

Tôi thiên về mật khẩu dài hơn (thực tế, có nghĩa là như trong các cụm từ nhiều từ trong bạn sẽ nhớ chúng) thay vì trộn lẫn giữa các từ và số. Nếu bạn buộc mọi người thêm số, nhiều khả năng họ sẽ làm những việc đơn giản như thay thế tôi bằng 1, v.v. điều đó không giúp bạn có được sự bảo mật cao.

http://www.iusmentis.com/security/passphrasefaq/

Có hàng tấn tài liệu về Chính sách mật khẩu. Tôi khuyên bạn nên xem qua

• Bài viết trên wikipedia về Chính sách mật khẩu
• Tài liệu chính sách mật khẩu Sans .
• Dự thảo NIST sp800-118 có tiêu đề Hướng dẫn quản lý mật khẩu doanh nghiệp

Bây giờ, một cái gì đó phải được nói về sự tỉnh táo mật khẩu . Thực tế là mật khẩu khó nhớ được ghi lại. Điều tương tự cũng xảy ra đối với mật khẩu phải được thay đổi quá thường xuyên. Điểm mấu chốt, nó phụ thuộc vào những gì bạn đang bảo vệ và cơ sở người dùng của bạn.

Chính sách sẽ phản ánh những gì người dùng đang sử dụng máy tính để làm gì, thông tin nhạy cảm của người dùng xử lý trên đó. Nếu nó chỉ để chứa các tùy chọn người dùng, bạn không thực sự cần nó được củng cố mạnh mẽ nếu mọi thứ khác được đặt ra để đẩy lùi các cuộc tấn công. Nếu ngược lại là trường hợp tôi muốn người dùng khó chịu rên rỉ về mật khẩu phức tạp để nhớ.

Tôi có khoảng 20-một số mật khẩu phức tạp trong đầu mọi lúc và tôi đã bắt đầu tạo chúng bằng cách sử dụng các mẫu trên bàn phím để ghi nhớ chúng. Nó làm cho nó dễ dàng hơn vì tôi chỉ cần biết điểm bắt đầu và loại mô hình để thực hiện. Mọi người đều ghét thay đổi mật khẩu, nhưng kỹ thuật này cho phép tôi thay đổi chúng một cách dễ dàng và ghi nhớ chúng, vì vậy ít nhất là bảo mật đối với tôi. Tôi thậm chí có thể ghi lại một chữ cái trên một tờ giấy và vẫn nhớ những mẫu cần làm, và tôi không thực sự nhớ mọi thứ quá tốt. Nếu điều này có bất kỳ sử dụng cho bất cứ ai tuy nhiên .. tôi không biết.

Viết một mật khẩu phức tạp mà không làm xáo trộn nó dường như chỉ sai với tôi. Nếu ai đó đang cố gắng đột nhập vào máy tính, bạn có thể chắc chắn họ sẽ tìm kiếm một câu chuyện.

Tôi tin rằng, khi tôi làm việc cho một tổ chức chăm sóc sức khỏe, một số yêu cầu của chúng tôi đến từ HIPAA. Tôi đã không nhìn vào regs SOX (mà tôi đoán bây giờ tôi tuân thủ trong thế giới bảo hiểm), nhưng họ có thể có một số ngôn ngữ tương tự làm cơ sở cho loại điều này.

Ngoài ra, nếu bạn là thành viên của một tổ chức CNTT lớn hơn (bộ phận phụ trong một tập đoàn lớn hơn), công ty có thể có các quy tắc có thể được tuân thủ.

Điểm mấu chốt cần phải là, bất kỳ chính sách nào được thực hiện, đều được ban lãnh đạo cấp cao ban phước và tốt nhất là được viết trong chính sách bảo mật hoặc CNTT mà tất cả nhân viên cần phải biết / tuân thủ. Không cần phải hà khắc (thay đổi mật khẩu sau mỗi 180 ngày, kết hợp giữa alpha và số), nhưng đó phải là chính sách của công ty để mọi người đều rõ ràng về yêu cầu.

Đã có một số gợi ý tốt vì vậy tôi sẽ thêm điều này:

Miễn là bạn có thể đảm bảo rằng bạn có thể được miễn trừ khỏi chính sách ... Tôi có một trí nhớ tốt, vì vậy cá nhân tôi thích có thể sử dụng mật khẩu 18 ký tự phức tạp một cách lố bịch trong 6 tháng hoặc hơn một đơn giản mà tôi phải thay đổi mỗi tháng một lần.

Hãy nhớ rằng mật khẩu 16 ký tự chỉ sử dụng chữ thường và chữ in hoa và dấu cách sẽ tạo ra 53 ^ 16 kết hợp hoặc 3.876 * 10 ^ 27, trong khi mật khẩu 10 ký tự sử dụng chữ thường và chữ hoa, số và ký hiệu chỉ cung cấp 95 ^ 10 hoặc 5.987 * 10 ^ 19.