นโยบายอายุ / ความซับซ้อนของรหัสผ่านผู้ใช้

18

มีใครบ้างที่มีทรัพยากรใด ๆ ในการกำหนดนโยบายรหัสผ่านที่สมเหตุสมผลสำหรับผู้ใช้ของฉัน การเอนเอียงส่วนตัวของฉันคือการปรับความซับซ้อนของรหัสผ่านให้เป็นวงล้อและอนุญาตให้พวกเขาเปลี่ยนรหัสผ่านได้บ่อยครั้ง ดูเหมือนว่าผู้ใช้โดยเฉลี่ยของฉันมีความอดทนสูงกว่าในการผสมตัวเลขและตัวอักษรพิเศษบางอย่างมากกว่าเมื่อ 5 หรือ 10 ปีก่อน

ฉันกำลังมองหากฎง่ายๆและ / หรือทรัพยากรที่ฉันสามารถใช้เพื่อสำรองการเปลี่ยนแปลงนโยบายที่เสนอ หรือแม้แต่ข้อมูลเล็ก ๆ น้อย ๆ จากผู้ที่มีประสบการณ์มากกว่า

(ฉันยังห่างไกลจากกูรูด้านความปลอดภัยดังนั้นถ้าเพียงเพื่อคลุมเครือในการจัดการลอง จำกัด คำถามเพื่อใช้กับรหัสผ่านเครือข่าย Windows ภายในเท่านั้นแม้ว่าฉันจะสนใจสิ่งที่ผู้คนทำในแง่ของ VPN และเว็บ นโยบายการบริการ)

security password

— Kara Marfia
แหล่งที่มา

คุณช่วยบอกเราเพิ่มเติมเกี่ยวกับสภาพแวดล้อมซอฟต์แวร์ที่คุณต้องการในการปรับแต่งสิ่งนี้ให้ได้หรือไม่? Windows, * ระวัง, Plan9 ... ???

— quux

คำถามนโยบายเพิ่มเติมเฉพาะเทคโนโลยี อาจเป็นเรื่องขอบเขตของการสนทนาทางศาสนาเพื่อพิจารณาว่าคุณต้องการนโยบายที่แตกต่างกันสำหรับ windows กับ * nix box หรือไม่? ;)

— Kara Marfia

20

ในโลกปัจจุบันของการโจมตีด้วยรหัสผ่านเดรัจฉานแบบสุ่มฉันมักจะเห็นด้วยกับข้อความที่ว่า: รหัสผ่านที่ดีที่เขียนลงนั้นดีกว่ารหัสผ่านที่จดจำซึ่งเดาได้ง่าย

— เบรนท์
แหล่งที่มา

1

คุณลืม: ... จดบันทึกและเก็บไว้ในที่ลับ ไม่มีวางไว้ภายใต้แป้นพิมพ์ไม่นับ ;-)

— จอห์นสมิ

2

ที่จริงแล้วฉันจะรวม "เขียนและบันทึกลงในจอภาพในสายตาธรรมดา" - เพียงเพราะการโจมตีจำนวนมากมาจากระยะไกลรหัสผ่านที่ไม่ดีมีความเสี่ยงมากขึ้น

— Brent

2

สำหรับคนที่ลืมรหัสผ่านของพวกเขาแล้วฉันจะแนะนำว่าถ้าพวกเขาต้องจดบันทึกไว้พวกเขาก็ทำเช่นนั้นและวางไว้ในกระเป๋าเงินหรือกระเป๋าเงินของพวกเขา คนที่ไม่ได้มีแนวโน้มที่จะปล่อยให้ผู้ที่โกหกรอบและยังแจ้งให้ทราบว่าพวกเขาได้หายไป;)

— นาธาน

4

ไม่ไม่. คุณจดรหัสผ่านที่ถูกต้องและเก็บไว้ในกระเป๋าเงินของคุณจากนั้นจดรหัสผ่านผิดและติดไว้ใต้คีย์บอร์ดของคุณ หากคุณพบว่าบัญชีของคุณถูกล็อคให้ติดต่อเจ้าหน้าที่รักษาความปลอดภัยของคุณ

— romandas

1

เมื่อใดก็ตามที่ฉันเขียนรหัสผ่านฉันจะฝึกเพิ่มอักขระสองสามตัวในตอนต้นและตอนท้าย ฉันรู้ว่าพวกเขาพิเศษ แต่คนอื่นไม่ทำ ฉันเดาว่านี่จะไม่ทำงานได้ดีกับคำในพจนานุกรม

— Brent

10

นี่คือการเปรียบเทียบความแข็งแรงของรหัสผ่านที่ดี:

http://www.lockdown.co.uk/?pg=combi

— สกอตต์
แหล่งที่มา

ทำไมสิ่งนี้ถึงได้รับการโหวต? ดูเหมือนว่านี่คือสิ่งที่ผู้ถามต้องการ

— Scott

เนื่องจากเป็นประเภทของข้อมูลที่ฉันกำลังมองหาบางทีคำถามของฉันอาจมีข้อบกพร่อง ฉันคาดเดาว่าผู้คนคัดค้านคำตอบแบบไฮเปอร์ลิงก์ แต่ฉันไม่แน่ใจว่าจะต้องพูดอะไรอีก

— Kara Marfia

คุณช่วยเขียนอะไรบางอย่างเกี่ยวกับลิงค์ลงในคำตอบของคุณได้เช่นทำไมคุณคิดว่าลิงค์นี้เป็นการอ่านที่ดีเกี่ยวกับคำถาม

— Sam

9

คุณกำลังทำสิ่งที่ถูกต้องโดยพิจารณาจากสิ่งที่ผู้ใช้เต็มใจทำงานด้วย หากคุณบังคับใช้รหัสผ่านที่ซับซ้อนสูงซึ่งต้องเปลี่ยนบ่อยครั้งคุณจะพบว่าปริมาณการใช้โน้ตโพสต์ - อิทของคุณจะพุ่งสูงขึ้น

1 เพื่อให้ได้ตัวแทนของจอนออกจาก "666" ;-)

— tomjedrz

@tomjerdz: ขอบคุณ แม้ว่าฉันจะถ่ายภาพหน้าจอ แต่;)

นั่นคือสิ่งที่นายจ้างของฉันทำในขณะนี้: 60 วัน, "3 ใน 4" และไม่ทำซ้ำใน 24 ครั้งที่ผ่านมาดังนั้นทุกคนจึงมาพร้อมกับ "รูปแบบที่แตกต่าง" ไม่เกือบจะ "ปลอดภัย" อย่างที่ควรจะเป็นเศร้า

— วอร์เรน

6

มีผลงานที่เหมาะสมกับหัวข้อนี้เป็นยีน Spafford ที่ CERIAS นี่คือคำพูดบางส่วน:

ดังนั้นคำว่า "เปลี่ยนรหัสผ่านเดือนละครั้ง" มาจากไหน ย้อนกลับไปในสมัยที่ผู้คนใช้เมนเฟรมที่ไม่มีระบบเครือข่ายความกังวลเกี่ยวกับการรับรองความถูกต้องที่ใหญ่ที่สุดที่ไม่มีการควบคุมก็คือการถอดรหัส อย่างไรก็ตามทรัพยากรมี จำกัด ดีที่สุดเท่าที่ฉันสามารถหาได้ผู้รับเหมาของ DoD บางคนทำการคำนวณแบบ back-of-the- ซองจดหมายเกี่ยวกับระยะเวลาที่ใช้ในการเรียกใช้รหัสผ่านที่เป็นไปได้ทั้งหมดโดยใช้เมนเฟรมของพวกเขาและผลลัพธ์ก็คือหลายเดือน ดังนั้นพวกเขา (ค่อนข้างสมเหตุสมผล) จึงกำหนดระยะเวลาการเปลี่ยนรหัสผ่าน 1 เดือนเป็นวิธีในการเอาชนะการแคร็กที่เป็นระบบ นี่คือประดิษฐานอยู่ในนโยบายซึ่งตีพิมพ์และคนอื่น ๆ ส่วนใหญ่ได้รับการยอมรับในช่วงหลายปีที่ผ่านมา เมื่อเวลาผ่านไปผู้ตรวจสอบก็เริ่มมองหาสิ่งนี้และสร้างมันให้เป็น“ แนวปฏิบัติที่ดีที่สุด” ที่พวกเขาคาดหวัง

นี่คือความจริงที่ว่าการวิเคราะห์ที่สมเหตุสมผลใด ๆ แสดงให้เห็นว่าการเปลี่ยนรหัสผ่านรายเดือนมีผลกระทบเพียงเล็กน้อยหรือไม่มีเลยในการปรับปรุงความปลอดภัย!
มันเป็น "แนวปฏิบัติที่ดีที่สุด" จากประสบการณ์ 30 ปีที่ผ่านมากับเมนเฟรมที่ไม่ได้เชื่อมต่อเครือข่ายในสภาพแวดล้อมของกระทรวง - แทบจะไม่ตรงกับระบบของวันนี้โดยเฉพาะอย่างยิ่งในด้านวิชาการ!

— Liudvikas Bukys
แหล่งที่มา

+1 น่าสนใจ ฉันมักจะสงสัยว่าความคิดของใครเป็น

— sleske

4

ฉันชอบรหัสผ่านที่ยาวกว่ามาก (ซึ่งในความเป็นจริงหมายถึงในวลีที่มีหลายคำที่คุณจะจำได้) แทนที่จะผสมกับคำและตัวเลข หากคุณบังคับให้คนเพิ่มตัวเลขพวกเขามีแนวโน้มที่จะทำสิ่งง่าย ๆ เช่นแทนที่ i ด้วย 1 เป็นต้นซึ่งไม่ได้รับความปลอดภัยมากนัก

http://www.iusmentis.com/security/passphrasefaq/

— Wilka
แหล่งที่มา

ข้อความรหัสผ่านเป็นการปรับปรุงที่ชัดเจนมากกว่ารหัสผ่านในแง่ของความจำและความซับซ้อน

— Chris Upchurch

4

มีเนื้อหาเกี่ยวกับนโยบายรหัสผ่านจำนวนมาก ฉันแนะนำให้ดู

บทความวิกิพีเดียเกี่ยวกับนโยบายรหัสผ่าน
เอกสารนโยบายรหัสผ่าน SANS
NIST sp800-118 ฉบับร่างคู่มือการจัดการรหัสผ่านขององค์กร

ตอนนี้สิ่งที่จะต้องกล่าวเกี่ยวกับสติรหัสผ่าน ความจริงก็คือรหัสผ่านที่จำได้ยากนั้นถูกเขียนลงไป เช่นเดียวกันกับรหัสผ่านที่ต้องเปลี่ยนบ่อยเกินไป บรรทัดล่างขึ้นอยู่กับสิ่งที่คุณปกป้องและฐานผู้ใช้ของคุณ

— Pierre-Luc Simard
แหล่งที่มา

3

นโยบายควรสะท้อนให้เห็นถึงสิ่งที่ผู้ใช้ใช้คอมพิวเตอร์สำหรับข้อมูลที่ผู้ใช้จัดการกับข้อมูลที่ละเอียดอ่อน หากเป็นการ จำกัด การตั้งค่าของผู้ใช้คุณไม่จำเป็นต้องเสริมมันมากนักหากทุกอย่างพร้อมที่จะป้องกันการโจมตี หากตรงข้ามเป็นกรณีที่ฉันค่อนข้างจะได้รำคาญผู้ใช้เสียงสวดเกี่ยวกับรหัสผ่านที่ซับซ้อนที่ต้องจำ

ฉันมีรหัสผ่านที่ซับซ้อนประมาณ 20 รหัสในหัวของฉันตลอดเวลาและฉันได้เริ่มสร้างรหัสผ่านโดยใช้รูปแบบบนแป้นพิมพ์เพื่อจดจำรหัสผ่าน มันทำให้ง่ายขึ้นเพราะฉันแค่ต้องรู้จุดเริ่มต้นและรูปแบบของการทำ ทุกคนเกลียดการเปลี่ยนรหัสผ่าน แต่เทคนิคนี้ทำให้ฉันสามารถเปลี่ยนได้อย่างง่ายดายและจดจำได้ดังนั้นความปลอดภัยจึงแน่นสำหรับฉันอย่างน้อย ฉันยังสามารถจดจดหมายหนึ่งฉบับลงบนกระดาษหนึ่งแผ่นและยังจำได้ว่ารูปแบบใดที่จะทำและฉันจำไม่ได้ด้วยซ้ำ หากสิ่งนี้มีประโยชน์สำหรับใครก็ตาม .. ฉันไม่รู้

การจดรหัสผ่านที่ซับซ้อนโดยไม่ทำให้สับสนดูเหมือนว่าผิดสำหรับฉัน หากใครบางคนพยายามที่จะบุกเข้าไปในคอมพิวเตอร์ทางร่างกายคุณสามารถมั่นใจได้ว่าพวกเขาจะมองหาบางเรื่อง

— เทพยดา
แหล่งที่มา

1

ฉันเชื่อว่าเมื่อฉันทำงานให้กับสถาบันดูแลสุขภาพข้อกำหนดบางอย่างของเรามาจาก HIPAA ฉันไม่ได้ดู SOX regs (ซึ่งฉันคิดว่าตอนนี้ฉันติดอยู่ในโลกประกันภัย) แต่พวกเขาอาจมีภาษาที่คล้ายกันเป็นพื้นฐานสำหรับสิ่งนี้

นอกเหนือจากนั้นหากคุณเป็นส่วนหนึ่งขององค์กรไอทีที่มีขนาดใหญ่กว่า (แผนกย่อยใน บริษัท ขนาดใหญ่) บริษัท อาจมีกฎที่สามารถปฏิบัติตามได้

บรรทัดล่างต้องเป็นเช่นนั้นไม่ว่าจะใช้นโยบายใดก็ตามจะได้รับพรจากผู้บริหารระดับสูงและควรเขียนไว้ในนโยบายความปลอดภัยหรือไอทีที่พนักงานทุกคนต้องตระหนักถึง / ยึดมั่น ไม่จำเป็นต้องเป็น draconian (เปลี่ยนรหัสผ่านทุก 180 วันรวมกันของอัลฟ่าและตัวเลข) แต่ควรเป็นนโยบายของ บริษัท เพื่อให้ทุกคนมีความชัดเจนในความต้องการ

— มิลเนอร์
แหล่งที่มา

0

รับข้อเสนอแนะที่ดีดังนั้นฉันจะเพิ่ม:

ตราบใดที่คุณสามารถตรวจสอบให้แน่ใจว่าคุณได้รับการยกเว้นจากนโยบาย ... ฉันมีความจำดีดังนั้นโดยส่วนตัวฉันชอบที่จะใช้รหัสผ่าน 18 ตัวที่ซับซ้อนอย่างน่าขันเป็นเวลา 6 เดือนหรือมากกว่า แบบธรรมดาที่ฉันต้องเปลี่ยนเดือนละครั้ง

โปรดทราบว่ารหัสผ่าน 16 ตัวอักษรที่ใช้ตัวอักษรตัวพิมพ์เล็กและตัวพิมพ์ใหญ่และช่องว่างให้ชุดค่าผสม 53 ^ 16 หรือ 3.876 * 10 ^ 27 ส่วนรหัสผ่านตัวอักษร 10 ตัวที่ใช้ตัวอักษรตัวเล็กและตัวพิมพ์ใหญ่ตัวเลขและสัญลักษณ์เพียง 95 ^ 10 หรือ 5.987 * 10 ^ 19

— เดฟ
แหล่งที่มา