Chính sách mật khẩu hợp lý

Tôi đã được giao nhiệm vụ đưa ra chính sách bảo mật của công ty. Là một phần của điều này, tôi muốn xác định thế nào là mật khẩu hợp lý nhưng an toàn (độ dài, ký tự, v.v.), tần suất chúng nên được thay đổi, độ dài của lịch sử mật khẩu, v.v.

Rõ ràng tôi cần phải cân bằng an ninh chống lại thực tiễn.

Mọi người thường xem xét một chính sách mật khẩu tốt là gì?

Wikipedia có một bản tóm tắt hay về chủ đề này

Thực hành mật khẩu phổ biến Chính sách mật khẩu thường bao gồm lời khuyên về quản lý mật khẩu phù hợp, chẳng hạn như:

• không bao giờ chia sẻ tài khoản máy tính
• không bao giờ sử dụng cùng một mật khẩu cho nhiều tài khoản
• không bao giờ nói mật khẩu cho bất kỳ ai, kể cả những người tự nhận là từ dịch vụ khách hàng hoặc bảo mật
• không bao giờ ghi lại mật khẩu
• không bao giờ giao tiếp mật khẩu qua điện thoại, e-mail hoặc nhắn tin tức thì
• cẩn thận để đăng xuất trước khi rời khỏi máy tính
• thay đổi mật khẩu bất cứ khi nào có nghi ngờ họ có thể đã bị xâm phạm
• mật khẩu hệ điều hành và mật khẩu ứng dụng là khác nhau
• mật khẩu phải là số alpha
• tạo mật khẩu HOÀN TOÀN ngẫu nhiên nhưng dễ nhớ cho bạn

Gợi ý từ TU Delft :

Đặc điểm của mật khẩu chấp nhận được

• một mật khẩu chứa ít nhất tám ký tự và
• nó chứa ít nhất một chữ cái viết hoa và
• nó chứa ít nhất một chữ cái viết thường và
• nó chứa ít nhất một chữ số hoặc một ký tự khác, chẳng hạn như! @ # $% ^ & () {} [] <> ..., và
• nó không phải là một thuật ngữ trong một ngôn ngữ hoặc biệt ngữ quen thuộc, và
• nó không giống với hoặc xuất phát từ tên tài khoản đi kèm, từ các đặc điểm cá nhân hoặc từ thông tin từ gia đình / cộng đồng xã hội và
• nó rất dễ nhớ, ví dụ bằng một câu quan trọng và
• nó có thể được gõ một cách trôi chảy.

Thực hành tốt nhất để bảo vệ mật khẩu

• tránh sử dụng cùng một mật khẩu cho công việc và cuộc sống riêng tư;
• coi tất cả mật khẩu là thông tin nhạy cảm và không chia sẻ chúng với tài khoản của đồng nghiệp, thành viên gia đình hoặc người quen khác;
• không tiết lộ mật khẩu cho đồng nghiệp, sếp của một người hoặc những người quen khác, không phải trong hoàn cảnh bình thường cũng như trong trường hợp nghỉ phép hoặc bị ốm;
• không đề cập đến bất kỳ mật khẩu nào ở nơi công cộng, qua điện thoại hoặc trong giao tiếp không được mã hóa;
• không bao giờ ghi lại mật khẩu ở vị trí có thể truy cập tự do;
• không đưa ra bất kỳ gợi ý nào về việc ghi nhớ được sử dụng để ghi nhớ mật khẩu của bạn;
• không bao giờ cung cấp thông tin về mật khẩu trong bảng câu hỏi hoặc biểu mẫu bảo mật;
• nếu nghi ngờ sử dụng sai, sau đó báo cáo việc này cho tổ chức bảo mật và ngay lập tức thay đổi tất cả mật khẩu liên quan;
• nếu ai đó muốn biết mật khẩu, hãy giới thiệu anh ta với chính sách này.

Với sự phổ biến của keylogger và các cuộc tấn công lừa đảo, nó có thể hành xử tổ chức của bạn để xem xét các lựa chọn thay thế cho mật khẩu "mạnh". Xem blog của Bruce Schneier về bài viết Mật khẩu web mạnh có hoàn thành bất cứ điều gì không?

Tôi mạnh mẽ đề nghị sử dụng xác thực hai yếu tố. Giữa bóng đá, SecureID và Yubikey , rất dễ dàng và tương đối rẻ tiền để thực hiện yếu tố xác thực thứ hai.

Tôi thích Passwordsafe để theo dõi mật khẩu.

Đề nghị của tôi:

• Khuyến khích vượt qua các cụm từ, không phải từ. Một cụm từ vô nghĩa được tạo thành từ 3-4 từ dễ nhớ hơn 8 ký tự bị cắt xén.

• Đặt tuổi thọ tối đa hợp lý. Từ 3 đến 6 tháng.

• Đừng dựa vào 1337 nói để bảo vệ mật khẩu. Những kẻ tấn công từ điển mạnh mẽ như Crack đã thực hiện thay đổi chữ-> số trong gần 20 năm. Nhưng không yêu cầu chữ cái, số, chữ hoa và chữ thường và dấu chấm câu.

• Đừng dựa vào những từ không phải tiếng Anh để bảo mật. Bất kỳ kẻ ngốc nào cũng có thể tải nhiều từ điển vào một chương trình. Không quan trọng anh ấy có nói được ngôn ngữ hay không.

Đối với những thứ cá nhân tôi sử dụng

• Đối với những điều quan trọng; GMail, Máy chủ web, Ngân hàng trực tuyến - được tạo ngẫu nhiên 16 bit (A-Za-z0-9) được lưu trữ trong DB KeePass trên DropBox được mã hóa bằng cụm mật khẩu phức tạp nhưng dễ nhớ. Có lẽ hơi quá nhiệt tình nhưng nó không quá rắc rối.
• Đối với những thứ phổ biến, ít quan trọng hơn - diễn đàn, tài khoản không liên quan đến tiền, v.v., tôi sử dụng một bộ mật khẩu đơn giản hơn.

Bạn cần chọn tần số "hợp lý" cho tần suất thay đổi chúng. Quá nhanh và mọi người sẽ thoái hóa thành <old_password>+<number>(hoặc một cái gì đó tương tự), do đó chậm và bạn tăng nguy cơ mật khẩu bị xâm phạm. Có thể đáng để điều tra xem liệu có một quy tắc nào bạn có thể thiết lập để bảo vệ chống lại điều này hay không.

Tương tự, bạn cần có một quy tắc nói rằng mật khẩu không thể được sử dụng lại cho rất nhiều thay đổi (có thể là 10) để mọi người không chỉ trao đổi giữa hai (hoặc ba) mật khẩu cho tài khoản của họ.

Tạo mật khẩu ít nhất là chữ và số với ít nhất một vốn. Để làm cho nó an toàn hơn một chút, thêm vào đó phải có ít nhất một ký tự không phải là chữ và số.

Bạn có thể có một cái gì đó giống như một trình tạo mật khẩu như SuperGenPass . Vì vậy, họ có thể có mật khẩu yếu nhưng chuỗi được tạo sẽ cực kỳ mạnh. Nhưng đó sẽ là nhiều hơn cho đăng nhập trang web.

Các tùy chọn khác sẽ là:

1. Sử dụng 1337 nói bằng mật khẩu.
2. Sử dụng các pha có dấu câu, ví dụ: Đây là mật khẩu rất dài!
3. Tham gia hai [Th1s, là một v3ry v3ry l0ng p4ssw0rd!]

Vào thứ Sáu, tôi đã phải thay đổi mật khẩu tại trang web của khách hàng. Các quy tắc họ có là vô lý. Họ là tất cả những người tiêu chuẩn về phải có chữ hoa, dấu chấm câu, độ dài tối thiểu, vv cũng như.

• Ký tự đầu tiên không thể là ký tự dấu chấm câu.
• Không có từ trong từ điển.
• Nhân vật tương tự không thể được sử dụng hai lần.

Vấn đề là chúng rất phức tạp nên gần như không thể tìm thấy, đặc biệt là thông báo lỗi không cho bạn biết các yêu cầu bổ sung mà chúng có.

Tôi gọi cho bàn trợ giúp và họ nói, chỉ cần sử dụng một cái như Pa5word # này (không phải mật khẩu thật) và sau đó tiếp tục tăng số ....

Tôi thấy các hệ thống này hoàn toàn điên rồ khi chúng ngăn bạn sử dụng cụm mật khẩu ví dụ "thisismypasswordforjanurary" rất dễ nhớ và rất an toàn, nhưng hầu hết các hệ thống sẽ không cho phép các loại cụm từ đó.

Vì vậy, tôi sẽ bỏ phiếu cho độ dài tối thiểu cao, giả sử 15-20 ký tự theo cách mọi người không thể sử dụng từ và mật khẩu kiểu l33t không bắt buộc.

Dù bạn chọn gì, tôi sẽ đảm bảo bạn ghi lại những hạn chế là gì và tại sao chúng ở đó và một số ví dụ cho người dùng để giúp họ tạo ra những hạn chế an toàn.

Hầu hết các anwers ở đây đi thẳng vào đề xuất chính sách. Mà không trả lời câu hỏi như vậy là tốt. Nhưng theo tôi, bạn cần phải tự hỏi mình điều này trước tiên: thông tin bạn đang bảo vệ quan trọng như thế nào?

Chẳng hạn, chính sách mật khẩu cho bộ quốc phòng để bảo mật thông tin bí mật có thể sẽ khác hoàn toàn với chính sách bạn sẽ sử dụng cho các tài khoản email vứt đi.

Phiên bản ngắn:

Phần quản trị viên của tôi nói mật khẩu 12-16 ký tự với cả chữ và số viết thường và in thường. Cũng nên có một phần văn bản ngẫu nhiên không có trong bất kỳ từ điển nào. Cần đủ để ngăn chặn các cuộc tấn công vũ phu dựa trên mạng.

Là người dùng, tôi thích mật khẩu dễ nhớ, mặc dù chúng có thể dài (16 ký tự trở lên). Một khi tôi ghi nhớ nó, tôi có thể gõ nó đủ nhanh. Có thể thay vì chỉ thực thi một chính sách, bạn nên tìm những cách thông minh để dạy người dùng chọn mật khẩu an toàn và dễ nhớ, không chỉ là các ký tự ngẫu nhiên.