La risposta dipende dal motivo per cui stai persino pensando di impostare un limite di 12 caratteri.
Se è perché il sistema è noto per essere semplice da attaccare con password di 11 caratteri, e risulta essere computazionalmente impossibile da attaccare con password di 12 caratteri e le risorse di calcolo prevedibili del pianeta, allora lo si rende un requisito assoluto . Chiunque non possa o non vuole implementare quel limite semplicemente non soddisfa la tua politica di sicurezza, e basta. Le conseguenze per loro potrebbero essere davvero pessime (non possono vendere il loro prodotto), potrebbero essere gestibili o assolutamente insignificanti (usano un sistema diverso che fa affidamento sulla sua sicurezza su un valore diverso dai limiti di 12 caratteri e quindi ha una politica diversa ), ma quelle conseguenze sono giustificate .
Se imposti un limite di 12 caratteri perché non hai idea di quale limite si debba impostare, e 6 è ok ma non abbastanza per sempre, quindi lo hai raddoppiato, allora dovresti tenere conto di ciò che è pratico da implementare. Presumibilmente vuoi che le persone usino la tua politica (preferibilmente: se sono un dipendente che trova un lavoro che non li rende pazzi con richieste impossibili, se sono il CEO che lo ignora e acquista qualcosa che non soddisfa nessuna parte della vostra politica, se sono un fornitore che trova un altro cliente o raddoppia i loro prezzi per coprire lo sforzo supplementare). Pertanto, se la norma contiene requisiti arbitrari e onerosi, rischi di mettere a repentaglio le cose.
In pratica sei da qualche parte tra questi due estremi. Ma una volta che sai perché stai facendo il requisito, puoi decidere:
- è un requisito difficile. Tutto ciò che non lo soddisfa non è conforme alla politica.
- è una raccomandazione che ritieni sia realizzabile e spieghi le conseguenze della mancata soddisfazione.
- è cotto a metà. Devi fare più lavoro per stabilire quale dovrebbe essere il requisito prima di impostare la politica.
Considera anche l'obiettivo della politica. Se l'obiettivo dell'esercizio è quello di garantire che non si utilizzino fornitori con impostazioni di sicurezza mediocri o scadenti, quindi escludere i fornitori che non dispongono di buone impostazioni di sicurezza, sia a causa delle loro dimensioni ridotte o in altro modo, è un vantaggio di un requisito che può essere soddisfatto solo da chi ha una buona sicurezza. La politica è lì per guidare le persone, è anche lì per escludere le persone che non possono soddisfarle.
Who is going to get blamed when things happen? The security team right?
Sì, e ci sono due modi in cui la tua politica può fallire e ti verrà data la colpa. Può includere qualcuno che, con il senno di poi, ti rendi conto che avrebbe dovuto essere escluso e che tieni la colpa di una violazione della sicurezza. Può escludere qualcuno che, con il senno di poi, ti rendi conto che avrebbe dovuto includere, e ti viene incolpato per aver ostacolato il business della compagnia. Un sistema critico taglia in entrambi i modi - non vuoi che sia insicuro, e anche non vuoi che non venga mai costruito perché è troppo difficile rispettare la politica. Il tuo compito è trovare qualcosa che sia adeguato e realizzabile (o, se non puoi farlo, almeno per spiegare perché non così che qualcun altro possa essere coinvolto nella modifica dei vincoli con cui stai lavorando).
Una massiccia violazione della sicurezza è cattiva, ma se fosse intrinsecamente peggiore di quella dell'insolvenza, le aziende "giocheranno" (per esempio) non collegheranno mai nulla su Internet in primo luogo e andranno tutte a rotoli. Per ovvi motivi questo non è ciò che scelgono di fare. Pertanto, le disposizioni della politica devono essere giustificate e le giustificazioni devono essere disponibili per essere esaminate in un secondo momento, in modo tale che anche se qualcosa va storto, sembreranno ancora decisioni ragionevolmente buone, dato ciò che si sapeva al momento in cui le hai fatte.