Regolamenti che specificano la lunghezza della password?

Credo che il National Institute of Standards and Technology (NIST) pubblichi il Baseline Configuration Government degli Stati Uniti ( USGCB , precedentemente noto come Federal Desktop Core Configuration o FDCC) liste di controllo , che specifica i requisiti di complessità, durata e cronologia della password per le organizzazioni federali statunitensi. Inoltre, il Center for Internet Security (CIS) pubblica Benchmark per varie piattaforme, che includono raccomandazioni simili.

Tra i due, il segno più alto è:

• minimo di 12 caratteri.
• Almeno tre tipi di caratteri.
• Scadenza tra 60 giorni.
• Durata minima di 1 giorno.
• Nessun riutilizzo entro 24 password.
• Alcuni requisiti aggiuntivi specifici del sistema operativo potrebbero essere applicati.

Queste impostazioni sono applicate a livello di sistema operativo. Non sono sicuro che nessuna delle due aziende abbia specifiche simili che indirizzano specificamente applicazioni o siti Web, ma la maggior parte delle organizzazioni che sono soggette a queste probabilmente useranno solo gli stessi requisiti del sistema operativo.

Una ricerca su Google per uno dei termini di cui sopra dovrebbe rivelarsi ricca di informazioni. (Potrei aggiungere link qui più tardi o chiunque altro sia libero di modificarli.)

Per essere onesti, la "documentazione ufficiale" per tutti questi standard è incompleta, e come CISSP nel settore è veramente fastidioso .

Il modo in cui guardo è che nessuno ti approverà se hai conosciuto vulnerabilità nel tuo software, punto. L'autorità per questo è il Community Emergency Response Teams (CERT) ei CERT emettono numeri CVE per le vulnerabilità. Tutti i CERT utilizzano il sistema Common Weakness Enumeration per classificare le vulnerabilità nel software.

C'è CWE-521 - Requisiti di password deboli che elenca quanto segue:

1. Lunghezza minima e massima;
2. Richiede set di caratteri misti (alfa, numerico, speciale, maiuscolo);
3. Non contenere il nome utente;
4. scadenza;
5. Nessuna riutilizzazione della password.

Va notato che il sistema CWE è un albero e il genitore di CWE-521 è CWE-255 gestione delle credenziali .

Dato che stai cercando QUALSIASI organismo di regolamentazione, applicabile o meno, Dipartimento della Difesa Istruzione 8500.2 , Stati di implementazione di Information Assurance:

For systems utilizing a logon ID as the individual identifier, passwords are, at a minimum, a case sensitive, 8-character mix of upper case letters, lower case letters, numbers, and special characters, including at least one of each (e.g., emPagd2!). At least four characters must be changed when a new password is created.

NIST SP 800-63b [in bozza] ora fornisce una guida dettagliata per le password a diversi livelli di livelli di autenticazione.

A Memorized Secret (a.k.a 'password') SHALL be at least 8 characters in length if chosen by the subscriber; memorized secrets chosen randomly by the CSP or verifier SHALL be at least 6 characters in length and MAY be entirely numeric.

La maggior parte dei regolamenti federali sono ambigui di proposito. Dicono che devi essere sicuro ma non darti istruzioni specifiche su come. PCI-DSS è un contratto che devi firmare per fare affari utilizzando le carte di credito. A causa di cose come il Fair Credit Reporting Act che mette l'onere delle transazioni di carte di credito rubate sulle società di carte di credito, si scommette sul proprio sedere che sarà molto specifico e misurabile.

Per rispondere direttamente alla tua domanda, no, non sono a conoscenza di nessun altro regolamento o contratto che specifichi controlli di sicurezza misurabili diversi da PCI-DSS. La maggior parte delle risposte elencate sono cose che la tua azienda può prescrivere ma non sono richieste . Sono richiesti PCI-DSS, HIPAA, SOX, GLBA a seconda che si tratti di carte di credito, informazioni sulla salute, quotate pubblicamente o finanziarie. Potrebbero esserci alcune leggi statutarie o internazionali che dovresti prendere in considerazione e quelle che possono essere molto specifiche e / o molto confuse. Soprattutto in Canada, quando cerchi di capire se devi applicare i controlli sulla privacy in base al regolamento nazionale, provinciale o al ministero tramite contratto.

La migliore regolamentazione che ho visto in merito alla complessità della password è nelle linee guida della CSI a cui fanno riferimento altri regolamenti. Ma anche loro dicono "L'impostazione mostrata sopra è una delle possibili politiche. Alterare questi valori per conformarsi alle politiche delle password della propria organizzazione". Un esempio da qui link

6.3.2 Imposta i parametri del requisito di creazione password utilizzando pam_pwquality (Scored)

Applicabilità del profilo:

• Livello 1

Descrizione: il modulo pam_pwquality verifica la forza delle password. Esegue controlli come assicurarsi che una password non sia una parola del dizionario, è una certa lunghezza, contiene un mix di caratteri (ad esempio alfabeto, numerico, altro) e altro ancora. Le seguenti sono le definizioni delle opzioni pam_pwquality.so.

• try_first_pass - recupera la password da un precedente modulo PAM in pila. Se non disponibile, richiedere all'utente una password.
• retry = 3 - Consenti 3 tentativi prima di restituire un errore.

Le seguenti opzioni sono impostate nel file /etc/security/pwquality.conf:

• minlen = 14 - la password deve contenere 14 caratteri o più
• dcredit = -1 - fornire almeno 1 cifra
• ucredit = -1 - fornire almeno un carattere maiuscolo
• ocredit = -1 - fornire almeno un carattere speciale
• lcredit = -1 - fornire almeno un carattere minuscolo