นโยบายรหัสผ่านที่เหมาะสม


9

ฉันได้รับมอบหมายให้รวบรวมนโยบายความปลอดภัยของ บริษัท ส่วนหนึ่งของสิ่งนี้คือฉันต้องการกำหนดรหัสผ่านที่เหมาะสม แต่ปลอดภัย (ความยาวอักขระ ฯลฯ ) ความถี่ที่ควรเปลี่ยนความยาวของประวัติรหัสผ่านและอื่น ๆ

เห็นได้ชัดว่าฉันต้องรักษาความปลอดภัยให้สมดุลกับการใช้งานจริง

คนทั่วไปคิดว่านโยบายรหัสผ่านที่ดีคืออะไร

คำตอบ:


5

Wikipedia มีบทสรุปที่ดีในหัวข้อนี้

การปฏิบัติรหัสผ่านทั่วไปนโยบายรหัสผ่านมักจะมีคำแนะนำเกี่ยวกับการจัดการรหัสผ่านที่เหมาะสมเช่น:

  • ไม่แชร์บัญชีคอมพิวเตอร์
  • ไม่เคยใช้รหัสผ่านเดียวกันสำหรับบัญชีมากกว่าหนึ่งบัญชี
  • อย่าบอกรหัสผ่านให้กับทุกคนรวมถึงผู้ที่อ้างว่ามาจากฝ่ายบริการลูกค้าหรือความปลอดภัย
  • ไม่เคยเขียนรหัสผ่าน
  • อย่าสื่อสารรหัสผ่านทางโทรศัพท์อีเมลหรือข้อความด่วน
  • ระมัดระวังการออกจากระบบก่อนออกจากคอมพิวเตอร์โดยไม่ตั้งใจ
  • เปลี่ยนรหัสผ่านเมื่อใดก็ตามที่มีข้อสงสัยว่าอาจถูกบุกรุก
  • รหัสผ่านระบบปฏิบัติการและรหัสผ่านแอปพลิเคชันนั้นแตกต่างกัน
  • รหัสผ่านควรเป็นตัวอักษรและตัวเลข
  • ทำรหัสผ่านอย่างสมบูรณ์แบบสุ่ม แต่ง่ายสำหรับคุณที่จะจำ

คำแนะนำจาก TU Delft :

ลักษณะของรหัสผ่านที่ยอมรับได้

  • รหัสผ่านมีอักขระอย่างน้อยแปดตัวและ
  • มันมีตัวอักษรตัวพิมพ์ใหญ่อย่างน้อยหนึ่งตัวและ
  • มันมีตัวอักษรตัวพิมพ์เล็กอย่างน้อยหนึ่งตัวและ
  • มันมีอย่างน้อยหนึ่งหลักหรือตัวละครอื่นเช่น! @ # $% ^ & () {} [] <> ... และ
  • มันไม่ใช่คำศัพท์ในภาษาหรือศัพท์แสงที่คุ้นเคยและ
  • มันไม่เหมือนกันหรือมาจากชื่อบัญชีที่มาพร้อมกับจากลักษณะส่วนบุคคลหรือจากข้อมูลจากครอบครัว / วงสังคม / และ
  • มันง่ายต่อการจดจำเช่นโดยใช้ประโยคสำคัญและ
  • มันสามารถพิมพ์ได้อย่างคล่องแคล่ว

แนวทางปฏิบัติที่ดีที่สุดสำหรับการปกป้องรหัสผ่าน

  • หลีกเลี่ยงการใช้รหัสผ่านเดียวกันสำหรับงานและชีวิตส่วนตัว
  • ถือว่ารหัสผ่านทั้งหมดเป็นข้อมูลที่ละเอียดอ่อนและไม่เปิดเผยรหัสผ่านของเพื่อนร่วมงานสมาชิกในครอบครัวหรือคนรู้จักอื่น ๆ
  • ไม่เปิดเผยรหัสผ่านให้เพื่อนร่วมงานเจ้านายของตนหรือคนรู้จักอื่น ๆ ไม่ว่าในสถานการณ์ปกติหรือในกรณีที่ลางานหรือเจ็บป่วย
  • ไม่พูดถึงรหัสผ่านใด ๆ ในที่สาธารณะทางโทรศัพท์หรือในการสื่อสารที่ไม่ได้เข้ารหัส
  • อย่าจดรหัสผ่านในที่ที่สามารถเข้าถึงได้อย่างอิสระ
  • อย่าให้คำแนะนำเกี่ยวกับตัวช่วยจำที่ใช้ในการจดจำรหัสผ่านของคุณ
  • อย่าให้ข้อมูลเกี่ยวกับรหัสผ่านในแบบสอบถามหรือแบบฟอร์มความปลอดภัย
  • หากสงสัยว่ามีการใช้งานในทางที่ผิดให้รายงานสิ่งนี้ต่อองค์กรรักษาความปลอดภัยและเปลี่ยนรหัสผ่านที่เกี่ยวข้องทั้งหมดทันที
  • หากมีคนต้องการรู้รหัสผ่านให้แนะนำเขาไปที่นโยบายนี้

3

ด้วยการแพร่กระจายของ keyloggers และการโจมตีแบบฟิชชิงอาจทำให้องค์กรของคุณต้องพิจารณาทางเลือกในการใช้รหัสผ่านที่ "แข็งแกร่ง" ดูบล็อกของ Bruce Schneierเกี่ยวกับกระดาษDo Strong Web Passwords ทำอะไรให้สำเร็จหรือไม่

ฉันขอแนะนำอย่างยิ่งให้ใช้การตรวจสอบสิทธิ์แบบสองปัจจัย ระหว่างฟุตบอล SecureID และYubikeyมันง่ายมากและไม่แพงนักเมื่อใช้ปัจจัยการรับรองความถูกต้องที่สอง


2

ฉันชอบรหัสผ่านสำหรับการติดตามรหัสผ่าน

คำแนะนำของฉัน:

  • ส่งเสริมการใช้วลีไม่ใช่คำพูด วลีไร้สาระที่ประกอบไปด้วยคำศัพท์ 3-4 คำนั้นง่ายต่อการจดจำมากกว่า 8 อักขระที่อ่านไม่ออก

  • ตั้งค่าอายุการใช้งานสูงสุดที่เหมาะสม ตั้งแต่ 3 ถึง 6 เดือน

  • อย่าพึ่งพา 1337 พูดเพื่อป้องกันรหัสผ่าน Brute Force Dictionary Attack เช่นCrackได้ทำการเปลี่ยนแปลงตัวอักษร -> ตัวเลขเป็นเวลาเกือบ 20 ปีแล้ว แต่ต้องใช้ตัวอักษรตัวเลขตัวพิมพ์ใหญ่และตัวพิมพ์เล็กและเครื่องหมายวรรคตอน

  • อย่าพึ่งพาคำศัพท์ที่ไม่ใช่ภาษาอังกฤษเพื่อความปลอดภัย คนโง่สามารถโหลดพจนานุกรมหลายเล่มลงในโปรแกรม ไม่สำคัญว่าเขาจะพูดภาษาได้หรือไม่


+1 สำหรับรหัสผ่านที่ปลอดภัย จริง ๆ แล้วฉันไม่รู้รหัสผ่านส่วนใหญ่และพวกเขาต่างกันทั้งหมดแม้แต่ร้านค้าบนเว็บแบบสุ่มทั้งหมด
RBerteig

เตือนความจำที่ดีว่าการเปลี่ยนตัวหมายเลข / ตัวอักษรธรรมดาไม่ใช่การป้องกันที่ดี ฉันคิดว่าการแตกพจนานุกรมจะสบายใจกับผู้คนเพียงต่อท้ายตัวเลขด้วยหรือไม่
Jon Hopkins

@Tyrannosaurs: ถ้ามันเป็นแบบอัตโนมัติคุณสามารถเดิมพันใครบางคนที่ได้ลอง การโจมตีพจนานุกรมนั้นช้า แต่ขนานกันได้ง่าย ลองนึกภาพรหัสผ่านโจมตีบอตเน็ต
pgs

ฉันคิดว่าคำถามที่ดีที่นี่คือ: ผู้จัดการรหัสผ่านควรเป็นส่วนหนึ่งของนโยบายความปลอดภัยของ บริษัท หรือไม่ ผู้ใช้ปกติ (ยกเว้นผู้ที่มาจาก IT) ควรได้รับอนุญาตให้มีผู้จัดการรหัสผ่านในเวิร์กสเตชันของพวกเขาหรือไม่?
Isxek

โดยส่วนตัวฉันไม่มีปัญหากับมัน ฉันสามารถรีเซ็ตรหัสผ่านบนเครื่องใดก็ตามที่ฉันเป็นผู้ดูแลและเครื่องอื่น ๆ ไม่ใช่ปัญหาของฉัน แน่นอนว่าการลงชื่อเพียงครั้งเดียวและสิทธิ์ในการจัดการที่เหมาะสมนั้นดีกว่ารหัสผ่านหลายตัวและตัวจัดการรหัสผ่าน
pgs

2

สำหรับสิ่งของส่วนตัวฉันใช้

  • สำหรับสิ่งสำคัญ GMail, โฮสต์เว็บ, Online Banking - สร้างแบบสุ่ม 16 บิต (A-Za-z0-9) ที่เก็บไว้ในKeePass DBบน DropBox ที่เข้ารหัสด้วยข้อความรหัสผ่านที่ซับซ้อน แต่จดจำได้ง่าย อาจจะค่อนข้างเซ่อ แต่ก็ไม่ได้ยุ่งยากอะไรมาก
  • สำหรับสิ่งทั่วไปที่มีความสำคัญน้อยกว่า - ฟอรัมบัญชีที่ไม่เกี่ยวข้องกับเงิน ฯลฯ ฉันใช้ชุดรหัสผ่านที่ง่ายกว่า

1

คุณต้องเลือกความถี่ "เหมาะสม" สำหรับความถี่ที่ควรเปลี่ยน เร็วเกินไปและผู้คนจะเสื่อมสภาพลง<old_password>+<number>(หรือสิ่งที่คล้ายกัน) ดังนั้นช้าและคุณเพิ่มความเสี่ยงของรหัสผ่านที่ถูกบุกรุก มันอาจคุ้มค่าที่จะตรวจสอบว่ามีกฎที่คุณสามารถตั้งค่าเพื่อป้องกันสิ่งนี้

คุณจำเป็นต้องมีกฎที่ระบุว่ารหัสผ่านไม่สามารถนำมาใช้ซ้ำสำหรับการเปลี่ยนแปลงจำนวนมาก (อาจเป็น 10) เพื่อให้ผู้คนไม่ได้แลกเปลี่ยนระหว่างสอง (หรือสาม) รหัสผ่านสำหรับบัญชีของพวกเขา

ทำรหัสผ่านอย่างน้อยตัวอักษรและตัวเลขอย่างน้อยหนึ่งตัวพิมพ์ใหญ่ เพื่อเพิ่มความปลอดภัยให้มากขึ้นเล็กน้อยต้องมีอักขระที่ไม่ใช่ตัวอักษรและตัวเลขอย่างน้อยหนึ่งตัว


1

คุณอาจจะมีบางอย่างเช่นเครื่องกำเนิดไฟฟ้ารหัสผ่านเหมือนSuperGenPass ดังนั้นพวกเขาอาจมีรหัสผ่านที่อ่อนแอ แต่สตริงที่สร้างขึ้นจะมีความแข็งแกร่งอย่างยิ่ง แต่นั่นจะมีมากขึ้นสำหรับการเข้าสู่เว็บไซต์

ตัวเลือกอื่น ๆ จะเป็น:

  1. ใช้ 1337 พูดด้วยรหัสผ่าน
  2. ใช้เฟสด้วยเครื่องหมายวรรคตอนเช่นนี้เป็นรหัสผ่านที่ยาวมาก!
  3. เข้าร่วมทั้งสอง [Th1s เป็น v3ry v3ry l0ng p4ssw0rd!]


SuperGenPass ไม่ใช่เพื่อให้คุณสามารถมีรหัสผ่านหลักที่อ่อนแอได้ดังนั้นคุณต้องจำรหัสผ่านที่แข็งแกร่งเพียงรหัสเดียวเท่านั้น นี่คือความแตกต่างที่สำคัญ
itsadok

ไม่มีเหตุผลที่จะคิดว่าการเปลี่ยนตัวเลขสำหรับสระจะให้ความคุ้มครองใด ๆ
Chris Burgess

1

ในวันศุกร์ฉันต้องเปลี่ยนรหัสผ่านที่ไซต์ลูกค้าของฉัน กฎที่พวกเขามีนั้นไร้สาระ พวกเขาทั้งหมดเป็นคนมาตรฐานเกี่ยวกับต้องมีตัวพิมพ์ใหญ่เครื่องหมายวรรคตอนความยาวต่ำสุด ฯลฯ

  • อักขระตัวแรกไม่สามารถเป็นเครื่องหมายวรรคตอนได้
  • ไม่มีคำในพจนานุกรม
  • อักขระเดียวกันไม่สามารถใช้ได้สองครั้ง

ปัญหาคือว่ามันซับซ้อนจนแทบจะเป็นไปไม่ได้ที่จะหาโดยเฉพาะอย่างยิ่งเมื่อข้อความแสดงข้อผิดพลาดไม่ได้บอกข้อกำหนดเพิ่มเติมที่พวกเขามี

ฉันโทรไปที่แผนกช่วยเหลือแล้วพวกเขาก็บอกว่าใช้แค่ Pa5word # นี้ (ไม่ใช่รหัสผ่านจริง) แล้วค่อยเพิ่มจำนวน ....

ฉันพบว่าระบบเหล่านี้บ้าอย่างสมบูรณ์เมื่อพวกเขาหยุดคุณจากการใช้ข้อความรหัสผ่านเช่น "thisismypasswordforjanurary" นั้นง่ายต่อการจดจำและปลอดภัยมาก แต่ระบบส่วนใหญ่ไม่อนุญาตให้ใช้วลีประเภทนี้

ดังนั้นฉันจะลงคะแนนให้มีความยาวต่ำสุดสูงพูดประมาณ 15-20 ตัวอักษรเพื่อให้คนไม่สามารถใช้คำและรหัสผ่านแบบ l33t ได้

อะไรก็ตามที่คุณเลือกฉันจะทำให้แน่ใจว่าคุณบันทึกเอกสารข้อ จำกัด คืออะไรและทำไมพวกเขาถึงมีและตัวอย่างสำหรับผู้ใช้เพื่อช่วยให้พวกเขาสร้างคนที่ปลอดภัย


นี่เป็นรหัสทั่วไปในระบบทหารคุณต้องเปลี่ยนรหัสผ่านในแต่ละเดือนและไม่สามารถใช้รหัสผ่านซ้ำ 12 ครั้งล่าสุดได้ ได้ผลในคนเพียงแค่ใส่ตัวเลขหรือวันที่สิ้นสุดของรหัสผ่านที่ง่าย
มาร์ติน Beckett

1

ผู้ใช้ส่วนใหญ่ตรงไปที่นโยบายการแนะนำ ซึ่งจะตอบคำถามเพื่อให้ดี แต่ในความคิดของฉันคุณต้องถามตัวเองก่อนว่าข้อมูลที่คุณปกป้องมีความสำคัญขนาดไหน?

ตัวอย่างเช่นนโยบายรหัสผ่านสำหรับกระทรวงกลาโหมเพื่อรักษาความปลอดภัยข้อมูลที่เป็นความลับอาจจะค่อนข้างแตกต่างจากนโยบายที่คุณใช้สำหรับบัญชีอีเมลที่ถูกทิ้ง


1

เวอร์ชั่นสั้น:

ส่วนผู้ดูแลระบบของฉันบอกว่ารหัสผ่านอักขระ 12-16 ตัวพร้อมทั้งตัวอักษรพิมพ์เล็กและตัวพิมพ์ใหญ่และตัวเลข นอกจากนี้ควรมีส่วนข้อความแบบสุ่มที่ไม่ได้อยู่ในพจนานุกรมใด ๆ ควรเพียงพอเพื่อป้องกันการโจมตีด้วยกำลังดุร้ายบนเครือข่าย

ในฐานะผู้ใช้ฉันชอบรหัสผ่านที่จดจำได้ง่ายถึงแม้ว่ารหัสผ่านอาจยาว (16 ตัวอักษรขึ้นไป) เมื่อฉันจำได้ฉันสามารถพิมพ์ได้เร็วพอ บางทีแทนที่จะบังคับใช้นโยบายเพียงอย่างเดียวคุณควรหาวิธีที่ชาญฉลาดในการสอนผู้ใช้ของคุณให้เลือกรหัสผ่านที่ปลอดภัยและจดจำได้ง่ายไม่ใช่แค่ตัวอักษรแบบสุ่ม

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.