Politiche password migliori:
strong, gestito e tenuto al sicuro.
Evidenziato
- lungo (12 o più caratteri)
- set di caratteri completo richiesto (superiore, inferiore, numero, simbolo)
- nessuna parola completa
- nessuna informazione personale se basata su una parola
gestita
- conservato in un luogo sicuro nel caso sia necessaria una ricerca
- cambiato regolarmente
- non è uguale al pass precedente
- mantenuto hash in un database dietro una password completamente casuale (di forza insana) o su un database non in rete che richiede accesso fisico sicuro
sicura
- il recupero avviene di persona o attraverso canali sicuri completi
Le password - vengono esaminate prima di essere modificate (automaticamente o in base a una pianificazione)
- nessun utente conosce la password di un altro utente (se viene scoperto che lo fa e non ne ha una buona ragione, impone una modifica della password)
Opzione - per l'autenticazione a 2 fattori per renderla più sicura
questi suggerimenti sono i migliori per la sicurezza della password e spesso vengono utilizzati a livello aziendale.
Informazioni su 2 fattori e alcuni problemi con questo:
Ovviamente questa opzione per l'autenticazione a 2 fattori viene spesso sballottata come "Perché non usare solo l'autenticazione a 2 fattori". Beh, in realtà c'è una ragione per questo: probabilmente dovresti per gli account che gestiscono dati sensibili . Oh aspetta, ci sono anche alcune insidie:
Per tutti gli altri, questo aggiunge un livello fisico di autenticazione che costa denaro, tempo e impostazione, oltre all'esecuzione o all'assunzione di un servizio da generare, e mantiene l'autenticazione sincronizzata. Con le posizioni in rete e fuori sede, questo può incorrere in alcuni problemi se non gestito correttamente e nel tempo ha sempre bisogno di manutenzione. Peggio ancora, la perdita di keygen è un problema comune , quindi è necessario distribuire i backup sul sito e, se in un viaggio d'affari, 2 fattori portano a un enorme problema se perduti. Poi li istruisci su come usarlo e li costringe a mantenere password sicure. Ciò richiede molto tempo per essere eseguito (a seconda delle dimensioni dell'azienda, questo potrebbe effettivamente portare a una revisione completa dell'IT) e richiede formazione e personale dedicato a mantenerlo.
TL, DR:
Implementa password sicure e parla con la compagnia della politica e della manutenzione delle password. Quindi offri l'opzione di 2 fattori (e forza in alcuni punti se necessario). Controlla sempre le password (manualmente o tramite un algoritmo) per confermare che non sono facili da decifrare o contenere informazioni di identificazione personale. Queste migliori pratiche sono sufficienti per mantenere molte aziende al sicuro. Tuttavia, non dimenticare mai che le password sono solo una parte della sicurezza informatica.
Per quanto riguarda l'invio di password casuali ... beh, all'inizio, va bene, ma alla fine è necessario ruotarlo e, in tal caso, dovresti lasciarli scegliere in modo che possano ricordarli più facilmente. Se non riescono a ricordarlo, continueranno a non riuscire ad accedere, il carico IT aumenterà a causa di password dimenticate, e quindi scriverlo su note appiccicose e perderle diventerà un vettore di attacco, o conservandole nell'e-mail personale con una password debole , tutti i tipi di cose brutte, ecc. Sarebbe meglio istruirli su come creare una password sicura, lunga, strong e facilmente memorizzabile come la seguente:
R4nD0ms7 @ Pl312eM0 / 312
è un dispositivo di rimozione di graffette casuale. Buona fortuna per identificarlo a colpo d'occhio o per scriverlo. Ma aspetta che tu abbia già memorizzato la base!