Come trovare un equilibrio tra politiche di sicurezza e sfide pratiche di implementazione? [duplicare]

27

Presso la nostra organizzazione, abbiamo riscontrato alcuni incidenti frequenti quali:

  1. Segnalati attacchi di indovinamento password riusciti

  2. Reclami frequenti di reimpostazione della password

Abbiamo avviato un'indagine per identificare le cause e i difetti nella nostra pratica. La politica della password è la seguente

Passwords shall have a minimum of 8 characters with a mix of alphanumeric and special characters and 60 days of expiry. No repeating passwords for 3 consecutive changes.

La maggior parte del feedback degli utenti sulla nostra politica sulle password è stata negativa e il reclamo è stato che trovano difficoltà nel ricordare la password e spesso ne usano uno semplice per soddisfare la politica.

Abbiamo condotto un sondaggio interno (personale) per identificare quanto siano forti le password utilizzate; il risultato indica che sono state utilizzate diverse parole comuni in combinazioni diverse poiché gli utenti devono cambiare le loro password ogni 60 giorni.

Ad esempio, password contenenti parole ripetute come name , home , office , ecc. Credo che la maggior parte delle organizzazioni abbia queste politiche in atto e la maggior parte degli standard raccomandano queste (PCI-DSS, ecc.) ma nessuna di loro realmente colpiscono l'equilibrio tra i controlli e l'applicabilità pratica.

Quindi il risultato reale di tali politiche / controlli non sta raggiungendo il risultato desiderato.

Le maggiori preoccupazioni sono: come raggiungere l'equilibrio tra queste politiche (in questo caso la politica delle password) e le sfide pratiche di implementazione?

    
posta Sayan 01.07.2018 - 11:19
fonte

10 risposte

42

Poiché questa domanda non è tecnica, piuttosto di carattere umano, non otterrai la risposta . Ciò che descrivi è molto tipico e ho fatto la stessa esperienza.

Normalmente le regole complesse per le password non portano a password più sicure, è importante solo una lunghezza minima e un controllo su un elenco delle password più utilizzate. Le persone non possono ricordare tonnellate di password sicure e tali regole possono persino interferire con i buoni schemi di password. Le persone possono diventare molto fantasiose per ignorare tali regole, ad es. utilizzando password deboli come "Password-2018", che soddisfa la maggior parte delle regole. Spesso ti ritroverai con password più deboli invece di quelle più forti.

Lo stesso vale per la regola di modifica della password, è molto comune aggiungere un numero crescente o il mese corrente alla password.

Recentemente il NIST ha pubblicato un documento ufficiale (vedi capitolo 10.2.1), consigliando contro tali regole e contro le sue precedenti raccomandazioni.

Prova a rispondere alla domanda modificata:

  1. Possiamo provare a delegare l'autenticazione , con il Single Sign-On oppure con OAuth2 , in questo modo possiamo ridurre le password che un utente ha da ricordare (stessa password per più servizi).
  2. Si potrebbe consigliare un gestore di password . Un link nella pagina di accesso a un buon strumento non farà male.
  3. Potremmo incoraggiare parole-frasi . Perché non inserire un esempio divertente nella pagina di accesso: "Mi piace dormire fino a quando non è troppo tardi per alzarsi", questo aumenta la consapevolezza e mostra all'utente come possono essere le frasi più semplici (e ottimizzate per i dispositivi mobili). Assicurati di rifiutare questo esempio esatto.
risposta data 01.07.2018 - 11:39
fonte
14

La soluzione migliore è quella di addestrare la tua base di utenti per utilizzare le passphrase .

Le passphrase sono più facili da ricordare, più facili da scrivere e più difficili da decifrare. E le regole NIST che @martinstoeckli menzionate sono progettate per essere passphrase-friendly.

Cinque parole casuali, tratte da un dizionario di almeno 20.000 parole o giù di lì, sarebbero una bella via di mezzo.

La formazione sarà fondamentale, utilizzando materiali come Stanford .

Potresti anche creare un modo per generare e suggerire loro passphrase. Sarebbe relativamente facile creare un'istanza privata semplificata di ae7.st/g o rempe.us/diceware per la base di utenti da utilizzare come punto di partenza. Questi vengono eseguiti interamente sul lato client, quindi le password non possono essere raccolte in remoto.

[Modifica: Sì, sono anche un grande fan dei gestori di password. Ma la domanda iniziale è incentrata sulle chiamate all'helpdesk per la reimpostazione della password in azienda, che quasi certamente significa password AD, che sono una di quelle "front end" password che di solito devono essere memorizzate.]

    
risposta data 01.07.2018 - 15:41
fonte
11

Aiuta tutti i membri della tua organizzazione a utilizzare un buon gestore di password. (Devo rivelare che lavoro per i creatori di un password manager molto raffinato.)

Seriamente, hai un problema di gestione delle password e usare un gestore di password all'interno della tua organizzazione è la soluzione migliore per affrontarlo. Questo è ciò che i gestori di password sono progettati per affrontare.

Indirizzamento dei commenti

Ci sono stati un certo numero di commenti eccellenti la mia risposta piuttosto fuori mano. Quindi sembra che dovrò fare dei veri sforzi qui.

Ci sono due domande da discutere.

Dimenticando la password del gestore password

Un gestore di password non elimina la necessità di ricordare le password tutte , ma sicuramente aiuta. Non mi era del tutto chiaro se la domanda originale fosse incentrata in modo specifico sulla password utente workstation / AD / LDAP per l'organizzazione o altre password.

Una cosa che riguarda l'utilizzo di Gestione password è che in genere è necessario digitare la sua password più volte al giorno. Quindi, dopo un po 'di tempo, le persone lo imparano bene.

E parlando specificatamente di 1Password, abbiamo creato delle cose in modo che sia impossibile per noi imparare i segreti di nessuno, ma è possibile che alcune persone all'interno di un'organizzazione siano autorizzate a eseguire il ripristino. Vedi la nostra documentazione su come appare un amministratore o sul nostro white paper sulla sicurezza per i dettagli cruenti di come tutto funzioni dietro le quinte.

Accesso alla workstation

Ovviamente non puoi eseguire il tuo gestore di password su un sistema a cui non puoi accedere. Tuttavia, a seconda delle policy aziendali, il gestore password può essere eseguito anche sul telefono dell'utente.

Capisco che ci saranno alcune obiezioni a questo, ma considera che è nell'interesse delle organizzazioni che il codice di accesso alle persone non sia qualcosa che usano anche per l'HTTP solo MyKittyPictures.org che è costruito su una versione di Wordpress che non è stato aggiornato in un decennio. Quindi vuoi che i tuoi dipendenti utilizzino un gestore di password sia a casa che al lavoro.

Ancora una volta, 1Password (e parte della nostra concorrenza) consente di gestire account separati, in modo da non trovare segreti sul posto di lavoro che si perdono in luoghi che non si desidera. Non volevo davvero trasformare questo in un lancio di vendite, ma ci sono modi per impostare le cose in modo che funzionino per le esigenze di sicurezza di varie organizzazioni.

Con password univoche, la necessità di rotazione forzata diminuisce

(Questo è rilevante perché la rotazione forzata delle password porta a persone che dimenticano le password o che usano password scadenti.)

Le rotazioni forzate delle password generalmente comportano più danni che benefici. Alcuni dei "buoni" che fanno sono perché le persone tendono a riutilizzare la stessa password su più servizi, e quindi una volta che vengono compromessi, tutto utilizzando la stessa password è vulnerabile.

Chiedere alle persone di utilizzare un gestore di password aiuta a spostare le persone dal riutilizzo della password.

Con le password generate, non sono necessarie regole di complessità.

Le regole di complessità della password possono anche fare più male che bene, e certamente portano a password difficili da ricordare. 1Password spinge le persone verso password master molto forti, ma utilizzabili.

Ancora una volta, non sto cercando di trasformare questo in un pitch di vendita. Guarda cosa offriamo (parlaci delle esigenze della tua specifica organizzazione), ma guarda anche agli altri. Siamo i migliori, nel mio non così umile parere, ma il mio punto di vista è che molti dei tuoi problemi di password possono essere risolti attraverso l'uso di un gestore di password. E coinvolgerà le tue persone in abitudini più sicure. Un gestore di password gode del vantaggio di aumentare la sicurezza e rendere la vita più facile per gli utenti.

    
risposta data 02.07.2018 - 04:07
fonte
9

... the real outcome of such policies/controls are not achieving the desired outcome.

Esattamente. Hai capito bene.

1. Rivedi la tua politica sulla password. Considera cosa stai proteggendo esattamente e quali sarebbero le conseguenze se un utente malintenzionato scopre una password. Se la password fornisce solo un accesso allo slot di parcheggio, non è così dannoso, sarà sufficiente una password piuttosto semplice. A seconda delle conseguenze, la politica potrebbe essere più seria, in alcuni casi la password potrebbe essere insufficiente e potrebbero essere necessarie soluzioni hardware come smart card o gestori di password USB.

2. Utilizza il gestore delle password. Gli utenti dovranno quindi ricordare solo una password. Per l'accesso al sistema (Windows, Linux, ...) ovviamente non puoi usare il gestore password su questo sistema, ma puoi usare PW Manager sullo smartphone (fornito e configurato dalla tua azienda e conforme alle tue politiche di sicurezza).

3. Utilizza l'autenticazione a 2 fattori. Ad esempio, password più SMS. Pro: le password possono essere più semplici. Contro: gli utenti possono presentare un reclamo perché saranno costretti a inserire il codice in modo permanente da SMS nella finestra di accesso. Puoi ancora renderlo semplice, se utilizzi l'autenticazione a 1 fattore nella tua intranet o in ufficio e 2 fattori solo per l'accesso remoto o quando l'utente effettua l'accesso non dal PC.

4. Automatizza il ripristino della password. Offri ai tuoi utenti la possibilità di reimpostare automaticamente le password, ad es. via email o SMS.

    
risposta data 01.07.2018 - 17:05
fonte
6

I punti più rilevanti sono stati fatti in altri post. Voglio solo evidenziare

  1. Lasciare che gli utenti scelgano e mantengano una buona password è nella maggior parte delle situazioni il miglior affare di sicurezza che costringerli a cambiare regolarmente la loro password.

  2. Un semplice calcolo mostra che i requisiti di complessità elaborati possono essere scambiati per uno o due caratteri in più, cioè invece di richiedere le "solite" lettere / cifre / caratteri speciali e la lunghezza minima 8 basta chiedere 10 caratteri.

  3. I requisiti come i caratteri speciali effettivamente indeboliscono le password, perché accanto a nessun utente sceglie un personaggio casuale tale in una posizione casuale - basta dare un'occhiata all'elenco delle password rocciose e osservare l'ammontare di password che finiscono su "!" o ".". Quindi, questo è abbastanza prevedibile. Infatti, il ragionamento secondo cui la complessità migliora la sicurezza (più precisamente: entropia) si basa sul presupposto che gli utenti scelgano password come 1D>u&b8H o 6mp{:2tL invece di password come g0tch4!! o #1Hottie .

  4. Se vuoi la complessità, fallo nel modo giusto: chiedi n fuori da m diversi caratteri (ad es. almeno 8 su 12 o più) e rifiuta i pattern come 123456 o qwerty ecc. Questo non è perfetto ma eliminerà subito il peggior tipo di junk.

  5. Ancora meglio, incoraggia i tuoi utenti a utilizzare i passphrase.

  6. Ho anche visto i suggeritori di password basati sull'idea di Randall Munroe di scegliere quattro (o più) parole casuali.

Infine, se la sicurezza è davvero una preoccupazione, allora le password potrebbero non essere la scelta giusta per l'autenticazione; L'autenticazione 2FA o basata su chiave pubblica potrebbe essere la soluzione (certamente più costosa) adeguata. Tuttavia, se la direzione insiste sulla politica così com'è, allora deve semplicemente convivere con i risultati.

    
risposta data 02.07.2018 - 15:46
fonte
4

Nella mia azienda abbiamo principalmente 2 regole, a livello aziendale:

  • Il negozio è "in memoria" o in un determinato gestore password con una password principale personale. (KeePass in questo caso)
  • La complessità della password deve essere almeno di una lunghezza minima e soddisfare 3 di questi:
    • Numero carattere
    • "Carattere speciale"
    • Lettera minuscola
    • Lettera maiuscola

I nuovi dipendenti conoscono queste regole e sono addestrate secondo le necessità.

La chiave qui è l'applicazione e il supporto del gestore delle password. In pratica, ciò porta a password casuali, lunghe e archiviate in sicurezza.

L'unica eccezione può essere se un cliente richiede esplicitamente una diversa gestione delle password per i sistemi THEIR, che deve essere approvato dal gestore del progetto.

    
risposta data 01.07.2018 - 23:52
fonte
2

Ho tenuto un paio di discorsi su questo argomento esatto, quindi ho un sacco di informazioni nella mia testa e spero di riuscire a riportare alcuni punti essenziali:

  1. Quali sono le tue attuali minacce? La maggior parte delle regole di complessità della password sono antiche, fuorviate e si presuppone che la principale minaccia sia la forzatura bruta. Se pensi un po 'all'argomento, quasi certamente giungerai alla conclusione che non lo è. Nel 90% delle impostazioni, se la forzatura bruta è possibile, il tuo software è rotto .

  2. Gli utenti interpretano sempre la politica della password nel modo più semplice per loro. Ciò ha la conseguenza involontaria che un utente malintenzionato che conosce la politica della password ha uno spazio di ricerca estremamente ridotto . Ad esempio, se hai bisogno di numeri, la stragrande maggioranza degli utenti li metterà alla fine, una minoranza all'inizio e quasi nessuno li mescolerà all'interno della parola come le tue stime di complessità banali ipotizzate.

  3. Elimina le regole "caratteri speciali e numeri e lettere maiuscole e minuscole". Sono tutte sciocchezze. Queste regole rendono in realtà un numero di attacchi più facili .

  4. Imponi password lunghe. Minimo assoluto di 8 caratteri, migliore di 12. Se la password è sufficientemente lunga, può essere memorizzabile, può essere una parola o una variazione o un mix di parole. È facile creare parole senza senso nella maggior parte delle lingue. Ad esempio, "nonmostageages" di quest'ultima frase. Questi sono ragionevolmente facili da ricordare e abbastanza veloci da scrivere correttamente. (mescolare parti di 4 o più parole del genere è la mia variazione preferita sulla famosa risposta xkcd a quell'argomento, che è geniale, ma si traduce in password troppo lunghe che gli utenti normali non digiteranno - ricorda che la maggior parte degli utenti non può toccare il tipo )

  5. Controlla le password che le persone inseriscono in una lista nera per assicurarsi che "password" e qualsiasi cosa sulla top 100 o così non sia accettabile. Aggiungi un paio di tuoi (ad es. Nome dell'azienda o nome dell'azienda + anno corrente)

  6. Torna ai tuoi pensieri sulle minacce e aggiungi a questi suggerimenti generici alcuni specifici per le tue minacce. Per esempio se c'è una ragionevole minaccia che il tuo database delle password possa essere rubato, hai l'unico scenario in cui la forza bruta è effettivamente una cosa, e devi pensare allo spazio di ricerca - dopo esserti assicurato che stai usando degli ottimi hash, buona sale e magari pepe. Inoltre, forse rendere il tuo database più sicuro è più facile e più efficace di cercare di costringere le persone a fare qualcosa che migliaia di persone hanno cercato di forzare per decenni, senza successo? - se, tuttavia, identifichiamo lo spallamento come una seria minaccia, devi sicuramente non volere la complessità nelle password, perché 9 [~ K > '? + D * kg è molto più lento da digitare che "nonmostagesage", mentre hanno la stessa complessità (dell'ordine di 10 ^ 22).

Se hai bisogno di dati e ricerche per convincere gli altri nella tua azienda, fammi un messaggio.

    
risposta data 02.07.2018 - 23:04
fonte
1

Ciò che infastidisce i tuoi utenti è la politica severa, che impedisce molte password sicure consentendo al tempo stesso quelle deboli

The password policy is strong with ‘Passwords shall have a minimum of 8 characters with a mix of alphanumeric and special characters and 60 days of expiry. No repeating passwords for consecutive 3 times’.

"Password-1" ha una lettera maiuscola, è lunga 10 caratteri e ha un carattere speciale e tu pensi che sia sicuro. "burro presidente del cavallo verde" non è permesso, ma molto più lungo e difficile da indovinare o forza bruta.

La scadenza della password è un'altra cosa che le linee guida sulle password moderne consigliano contro. Fammi scegliere un'altra password con le tue regole e scelgo "Password-2".

Personalmente risolverei questo richiedendo una password lunga. Se hai bisogno di avere almeno 20 caratteri, "Password-123" non funzionerà e inizierai a essere creativo. O iniziare a utilizzare un gestore di password. La semplice forza bruta non ha possibilità con password così lunghe e hai buone probabilità che anche una password non tanto buona non possa essere facilmente composta da un elenco di parole.

    
risposta data 02.07.2018 - 11:10
fonte
0

La tesi del mio master riguardava la sicurezza delle informazioni e il modo in cui gli umani sono l'anello più debole. Sento il tuo dolore qui perché il secondo ti rende le regole della password troppo difficili, gli utenti scriveranno la loro password su una nota adesiva e la collegheranno al loro computer.

La mia azienda ha diverse regole aggiuntive per aiutare a mantenere la complessità:

  1. Il 70% della passphrase deve essere diverso:   questo mantiene le persone da password1 , poi password2 , poi password3
  2. La tua password non può contenere parole del dizionario:   questo costringe le persone a usare l'ortografia leet e soluzioni alternative simili
  3. La tua password non può essere una passphrase comune:   ciò consente di campionare le passphrase del sistema e impedire a più di una persona di utilizzare la stessa password.

Poiché le password sono solo leggermente migliori dell'illusione della sicurezza, forse l'idea migliore è quella di aggiungere un diverso tipo di autenticazione.

Esistono tre tipi di autenticazione:

  1. Qualcosa che conosci (come un passcode o una passphrase)
  2. Qualcosa che hai (come un token o una carta di accesso)
  3. Qualcosa che sei (come impronte digitali o altri dati biometrici)

Quando le password vengono utilizzate in combinazione con 2 e 3, la complessità del passcode non ha importanza e viene spesso ridotta a un numero pin.

Sfortunatamente, l'unico modo per il sistema di applicare password veramente casuali è che il sistema li generi per un utente ... ma in questo modo si può quasi garantire che vengano scritti.

    
risposta data 02.07.2018 - 16:59
fonte
0

Filosoficamente parlando, ci sono due forze principali, alle quali le persone tendono ad aderire in modo diverso. La prima categoria è la libertà: condanna per costrizione, scelta per obbligo, moralità per imposizione. La seconda categoria è il potere, che è il contrario della libertà. Queste differenze fondamentali possono essere viste al meglio in politica come nelle questioni relative ai movimenti a favore degli Stati (socialismo, nazionalismo) e ai movimenti di libertà (libertarismo).

Ora, la storia ha chiaramente dimostrato che l'uso della violenza, della coercizione e del controllo ha prodotto risultati peggiori sotto ogni aspetto, con il comunismo e il fascismo al suo apice della manifestazione. D'altra parte, il capitalismo (che abbiamo circa il 50%) potrebbe aver causato disuguaglianza nella ricchezza, ma in modo positivo, che ha portato tutti a diventare più ricchi (innalzando gli standard di vita), e quelli che forniscono il maggior valore per diventare incredibilmente ricchi. Significato: anche i poveri (est) ne traggono beneficio. Considerando che se si forza l'uguaglianza di ricchezza totale, tutti diventano poveri e molte persone possono morire di fame (ma non quelli che hanno causato ciò naturalmente).

Quindi, per tornare su questo argomento: ogni volta che hai un obiettivo positivo (migliore protezione tramite password) prova a confondere con la libertà delle persone con la forza (forzando determinate regole per le password), puoi assistere a un declino dei tuoi obiettivi - up al punto di raggiungere il contrario.

Penso che un modo praticabile sarebbe quello di sostenere una migliore protezione tramite password e avvertirli della fragilità delle loro password. Forse mostrare loro una durata stimata necessaria per decifrarla. Di 'loro di usare più parole (che sembra essere il metodo migliore). Ma se vogliono una password che può essere risolta in 2 secondi, è la loro scelta.

Fornire informazioni (e avvertenze) è a mio parere molto più che forzare semplicemente le regole delle password. Perché è quello che accadrà, come hai descritto, le persone si arrabbieranno e cercheranno di trovare il modo più semplice per risolvere il problema. Forzare 9 lettere produrrà molte password di 9 lettere, ma dirle che una determinata password può essere violata in 2 secondi potrebbe motivarle ad usare qualcosa di meglio del minimo che altrimenti le costringerebbe ad avere, specialmente se si tratta di qualcosa di molto importante .

Inoltre un sacco di regole speciali (che spesso non hanno molto senso, come 1+ maiuscola e 1+ simbolo speciale) rendono le password molto più difficili da ricordare, se le loro non lo avessero già fatto. Quindi non è solo la "stupidità" degli utenti che è il problema, ma il tentativo di controllo da parte di "forza".

    
risposta data 03.07.2018 - 17:08
fonte