Come può IA-5 (1) (b) essere applicato su sistemi Windows?

7

Nota: ho anche postato una domanda per questo problema su sistemi non Windows .

In NIST SP 800-53 Rev. 3, IA-5 è l'indirizzo di controllo "Gestione Authenticator". I requisiti di questo controllo includono aspetti quali l'applicazione della lunghezza della password, la complessità, la durata, la cronologia e la corretta memorizzazione / trasmissione delle password.

Il primo miglioramento per questo controllo, che è selezionato per tutti i sistemi (Basso / Moderato / Alto) include questo requisito:

The information system, for password-based authentication:

...

(b) Enforces at least a [Assignment: organization-defined number of changed characters] when new passwords are created;

Nei sistemi Windows, so come applicare password lunghe e complesse che vengono cambiate regolarmente e non esattamente corrispondono a un certo numero di vecchie password. Ma come si implementa un criterio che richiede una certa quantità di caratteri da modificare con ogni nuova password?

    
posta Iszi 19.04.2011 - 15:11
fonte

2 risposte

4

Credete che l'unico modo sia di scrivere il vostro filtro personalizzato per le password.

Ci sono anche molti prodotti di terze parti che faranno questo per te, ad es.

Anche la complessità della password di Windows 2008 controllerà solo:

  • Le password non possono contenere il nome dell'account dell'utente o parti del nome completo dell'utente che superano due caratteri consecutivi.
  • Le password devono contenere almeno sei caratteri.
  • Le password devono contenere caratteri di tre delle seguenti quattro categorie:
    • Caratteri maiuscoli inglesi (dalla A alla Z).
    • Caratteri minuscoli inglesi (dalla a alla z).
    • Base 10 cifre (da 0 a 9).
    • Caratteri non alfabetici (ad esempio,!, $, #,%).

link

Questo controllo di complessità predefinito con la formazione degli utenti e la fornitura di un gestore di password è sufficiente per la maggior parte delle aziende per mitigare il rischio.

Se sei veramente preoccupato per qualcuno che fissa ChelseaFC01, ChelseaFC02, ChelseaFC03 e questo viene indovinato attraverso l'ingegneria sociale, cioè l'attaccante scopre che l'utente piace Chelsea e passa attraverso questa combinazione e potresti passare dall'aver semplicemente fare affidamento sulla password: ad es. implementare due fattori, l'autenticazione adattiva, ecc. Si potrebbe anche monitorare per più errori di password, ad es. 8 tentativi poi un successo tramite i registri di Active Directory e indagare su questi.

    
risposta data 19.04.2011 - 18:23
fonte
1

Penso che questo potrebbe essere cambiato in Windows 2008, ma nelle versioni precedenti di Windows questo tipo di cose è stato fatto tramite filtri password personalizzati (passfilt.dll) e / o agenti di login personalizzati.

    
risposta data 19.04.2011 - 15:51
fonte

Leggi altre domande sui tag