Altre strategie non sarebbero solo difficili da implementare, potrebbero essere in contrasto con l'intenzione del NIST 800-63b. Fortunatamente, ci sono diverse soluzioni di blacklisting, quindi probabilmente non hai bisogno (o vuoi) di un'altra strategia .
Ecco il mio ragionamento.
In primo luogo, per riassumere da 800-63b, sezione 5.1, la parte relativa ai verificatori (come le password) che sono direttamente applicabili al controllo della qualità della password dell'utente.
richiesto:
Secondo la mia lettura, l'intento della sezione 800-63b 5.1 sembra essere:
Se ciò non è possibile tramite l'interfaccia che modifica la password direttamente, altre strategie richiederebbero l'imposizione di tali obiettivi tramite la politica umana. Ciò richiederebbe:
-
Un modo separato per gli utenti di cercare le password nella blacklist . Poiché l'interfaccia per la modifica delle password di Windows è dedicata e isolata dal design, fornire un modo digitale per farlo sarebbe complicato (e stampare un libro sarebbe invece un incubo di usabilità e manutenibilità!)
-
Un modo per verificare la conformità dopo il fatto (violando le password usando la lista nera come dizionario). Dovresti farlo comunque ... ma in questo caso, credo che sconfigga lo scopo della guida NIST (per garantire che le password in blacklist non siano mai utilizzate in primo luogo )
Fortunatamente, non hai bisogno di un'altra strategia, se hai solo bisogno di fare quanto segue:
-
Verifica la lunghezza minima. I requisiti di complessità degli stock AD lo consentono già.
-
Implementa la lista nera. Esistono soluzioni commerciali (Anixis, ecc.) E FOSS ( link ).
In altre parole, le strategie alternative non solo non sono necessarie: sarebbero poco pratiche, forniscono un'esperienza utente difficile ... e potrebbero non essere effettivamente conformi in modo difensivo .