Come posso promuovere buone pratiche relative alle password in un'organizzazione che attualmente non si occupa di questo?

10

Lavoro con un'organizzazione che utilizza pratiche molto scarse come l'utilizzo di account utente predefiniti, password predefinite (o password uguali agli account utente), condivisione di informazioni sulla password tra utenti, ecc.

Ho provato a mantenere le mie parti dei nostri programmi di sicurezza codebase / ect, i miei utilizzano login e permessi di database corretti, password forti ecc. Ma i miei programmi sono vulnerabili ai difetti della grande organizzazione. Se, ad esempio, qualcuno potrebbe ottenere alcune informazioni sull'account, la sicurezza nelle mie applicazioni è priva di significato.

Posso aiutare qui e là a cambiare le pratiche di sicurezza di questa azienda o i miei sforzi sono condannati a causa dei "legami più deboli"? Per la maggior parte, le mie pratiche di sicurezza sono sicure come le loro.

    
posta Ben Brocka 29.02.2012 - 16:12
fonte

3 risposte

9

Recentemente ho trovato questo articolo scritto da Ross Anderson . Oltre a segnalare ai tuoi colleghi la velocità con cui le password errate possono essere violate, vale la pena notare che la loro ricerca ha mostrato alcuni vantaggi solo nel ricordare alle persone alcune buone regole per le password e una induzione di base nella scelta delle password.

link

Se possibile, cerca perché le persone scelgono le password predefinite o condividono account e vedi se c'è un modo per aggirare questo problema. Considerare l'esempio di ssh-ing in più server e consentire ad alcuni membri del personale di supporto di fare lo stesso. Piuttosto che avere un'unica password che tutti conoscono, puoi usare le chiavi qui in modo che non debbano ricordare nulla. Si collegano semplicemente con la chiave. Se hai bisogno di revocare la chiave, rimuovila dal server (questo è ovviamente solo un esempio).

L'istruzione è la chiave, oltre a garantire che le persone possano continuare facilmente a svolgere il proprio lavoro. Semplicemente chiedendo a tutti di scegliere una password di lunghezza 16+, con più casi e amp; caratteri speciali che devono poi digitare più di 25 volte al giorno non è una soluzione accettabile. Semplicemente non lo faranno e torneranno a usare una password di 6 caratteri che usano ovunque, in quanto è più semplice.

    
risposta data 29.02.2012 - 16:27
fonte
2

Chiedi se hanno una politica di sicurezza. In caso contrario, scoprire se qualcuno sarebbe responsabile della creazione di uno. Altrimenti ... pensa di proporre una politica, qualcosa di simile, ma modificalo ... ha alcuni problemi: link

Fai attenzione che quando la politica è in conflitto con una politica esistente, come PCI, vince la politica più strong. Aggiungi una clausola di revisione (ad es. Annualmente) a un avviso di domande-diretto, un processo di eccezione e il controllo delle versioni con una data. Se qualcuno ha delle domande, suggerisci di partecipare alla tua riunione annuale.

Introducilo con un annuncio e un periodo di revisione, ad es. 3 mesi. Consenti feedback. Tieni il tuo primo incontro. Passa alla gestione e speriamo che abbia dichiarato una politica.

Quindi sviluppa un processo per il tuo team per gestire le password. Suggerisci il processo come linea guida per gli altri team per creare un processo conforme alle norme.

Una volta sul posto, prendi in considerazione gli strumenti per controllare la validità della password.

modifica: btw, sono d'accordo con @webtoe su questo. Questo è un IMHO di area in cui le vecchie policy sulle password come quella di SANS necessitano di un tweaking. Ad esempio, 8 caratteri, lettere maiuscole, caratteri alfanumerici, caratteri speciali, parole senza dizionario, richiedono ciecamente politiche di modifica della password di 30 giorni, vietando ssh-to-root, non richiedendo la scrittura di password in basso, ecc. OTOH, se si dà troppa flessibilità, le persone diventeranno sciatte. Ogni aspetto della gestione delle password richiede una motivazione e dovrebbe essere in grado di essere sfidato.

Una delle più stupide norme per le password che ho riscontrato richiedeva una scansione automatica utilizzando uno strumento che controllasse la validità della password. I miei ID di automazione per SSH sono stati colpiti ripetutamente perché l'autenticazione della password era disabilitata, era consentita solo la chiave pubblica / privata. Sfortunatamente ciò significava che dovevo creare un cron job per creare una password casuale ogni 90 giorni. Non lo comunicherà, ma la politica ha effettivamente ridotto la sicurezza della soluzione.

    
risposta data 29.02.2012 - 16:52
fonte
1

Non farlo. Usa SSO: link .

Se le persone devono ricordare qualcosa che non è direttamente correlato alla loro attività, la scriveranno, o anche solo una singola password debole e facile per tutto. Costringendoli a scegliere una buona password come '! @ # Aa $ ogh443 \' li faremo impazzire. Se è il tuo lavoro preoccuparti della sicurezza, prenditi cura delle persone. Una password debole ricordata sarà sempre più strong di una password di 44 caratteri scritta su una nota accanto alla tastiera.

Dai loro il token di autenticazione, dovrebbero portarlo sempre con loro, quindi scegli uno piccolo e di bell'aspetto;). Potrebbe richiedere del lavoro aggiuntivo dietro la scena per ottenere tutto ciò che funziona, ma non è impossibile e rende tutto più standardizzato e facile da gestire alla fine.

    
risposta data 04.03.2012 - 07:26
fonte