Applicazioni pratiche della nuova politica NIST password

5

Ho precedentemente chiesto l'applicazione della pubblicazione speciale NIST 800-63-3 (politica della password). Norme sulla password

Senza un modo semplice per aggiungere una lista nera delle password ad AD, quali sono le strategie comuni per l'implementazione di questi consigli ( link ), nel mondo reale? Sto cercando di riscrivere la politica della password interna, ma senza di essa (ciò che è apparentemente una parte integrante) non sono sicuro che una politica ibrida sarebbe migliore?

    
posta Chri3 01.09.2017 - 11:23
fonte

1 risposta

3

Altre strategie non sarebbero solo difficili da implementare, potrebbero essere in contrasto con l'intenzione del NIST 800-63b. Fortunatamente, ci sono diverse soluzioni di blacklisting, quindi probabilmente non hai bisogno (o vuoi) di un'altra strategia .

Ecco il mio ragionamento.

In primo luogo, per riassumere da 800-63b, sezione 5.1, la parte relativa ai verificatori (come le password) che sono direttamente applicabili al controllo della qualità della password dell'utente.

richiesto:

  • Authenticators (password) devono essere:
    • Minimo 8 caratteri
  • Gli autenticatori hanno anche controllato la lista nera usando "valori noti per essere comunemente usati, previsti o compromessi" (il nucleo della tua domanda) - almeno uno dei seguenti:

    • Password ottenute da precedenti casi di violazione
    • parole del dizionario
    • Caratteri ripetitivi o sequenziali (ad esempio "aaaaaa", "1234abcd")
    • Parole specifiche del contesto, come il nome del servizio, il nome utente e i relativi derivati
  • Se trovato nella lista nera:
    • consiglia al sottoscrittore di aver bisogno di selezionare un altro segreto
    • indica il motivo del rifiuto
    • richiede al sottoscrittore di scegliere un valore diverso

Secondo la mia lettura, l'intento della sezione 800-63b 5.1 sembra essere:

  • Impedisci agli utenti di utilizzare password in blacklist in primo luogo

  • Allena l'utente a capire perché le scelte della password sono scarse

Se ciò non è possibile tramite l'interfaccia che modifica la password direttamente, altre strategie richiederebbero l'imposizione di tali obiettivi tramite la politica umana. Ciò richiederebbe:

  • Un modo separato per gli utenti di cercare le password nella blacklist . Poiché l'interfaccia per la modifica delle password di Windows è dedicata e isolata dal design, fornire un modo digitale per farlo sarebbe complicato (e stampare un libro sarebbe invece un incubo di usabilità e manutenibilità!)

  • Un modo per verificare la conformità dopo il fatto (violando le password usando la lista nera come dizionario). Dovresti farlo comunque ... ma in questo caso, credo che sconfigga lo scopo della guida NIST (per garantire che le password in blacklist non siano mai utilizzate in primo luogo )

Fortunatamente, non hai bisogno di un'altra strategia, se hai solo bisogno di fare quanto segue:

  • Verifica la lunghezza minima. I requisiti di complessità degli stock AD lo consentono già.

  • Implementa la lista nera. Esistono soluzioni commerciali (Anixis, ecc.) E FOSS ( link ).

In altre parole, le strategie alternative non solo non sono necessarie: sarebbero poco pratiche, forniscono un'esperienza utente difficile ... e potrebbero non essere effettivamente conformi in modo difensivo .

    
risposta data 01.09.2017 - 17:15
fonte

Leggi altre domande sui tag