Come posso scrivere una buona politica sulla password aziendale?

IMO, i criteri in una politica dovrebbero essere espliciti, minimi e attuabili. "Non usare parole del dizionario", fa parte di un documento sulle migliori pratiche o della formazione sulla consapevolezza della sicurezza aziendale, non nella politica.

La politica dovrebbe specificare cose come lunghezza minima, criteri di complessità, età massima (e minima) per ogni categoria di password. È prassi comune richiedere password più lunghe per account con privilegi elevati.

In base alle attuali prestazioni di hash cracking della GPU, 10 caratteri scelti tra 96 (superiore, inferiore, cifre, speciale incluso lo spazio) è la lunghezza minima da considerare e 12 sarebbe una scelta molto più sicura. Negli ultimi anni c'è stata molta discussione sul valore attuale delle frequenti modifiche della password. Uno dei lati negativi da considerare è indotto cattivi comportamenti. Se gli utenti non riescono a ricordare la propria password perché viene cambiata ogni mese, la scriveranno o utilizzeranno password indovinate e comprometteranno il controllo.

Esorto caldamente l'adozione dell'autenticazione a due fattori, dell'autenticazione basata sul rischio e delle soluzioni di gestione degli accessi privilegiati.

Ci sono già alcune opzioni elencate che evidenziano la soluzione da un punto di vista manageriale. Trovo che un mix di controlli di gestione e controlli tecnici siano efficaci. Affidarsi a uno solo è destinato a fallire.

Da un approccio tecnico, puoi controllare alcuni dei requisiti tramite il criterio di gruppo di Windows. Da Criteri di gruppo, puoi controllare:

• Numero di password precedenti memorizzate
• Età minima password
• Durata massima password
• Lunghezza minima password
• Se la password deve soddisfare un requisito di complessità

Con il requisito di complessità abilitato, sono necessari i seguenti 3 su 4:

• English uppercase characters (A through Z).
• English lowercase characters (a through z).
• Base-10 digits (0 through 9).
• Non-alphanumeric (for example, !, $, #, %). extended ASCII, symbolic, or linguistic characters.

Impostazione della complessità della password Microsoft

Una domanda riguardante le password del dizionario è stata anche sollevata su SuperUser . Sembra che ci sia una soluzione per controllare anche quello.

Bene, c'è un modo semplice di verificare le password al momento della creazione con un programma o un algoritmo. Ciò tuttavia non è infallibile poiché alcuni possono ancora cadere attraverso le fessure (la regex è sorprendentemente difficile).

La verità delle password migliori è che possono essere BASATE sulle parole, ma non dovrebbero contenere parole FULL . Queste parole DEVONO essere scomposte con una differenza di caratteri (simbolo, numero, combinazione dei due, cambiamento del caso, ecc.), Più lunghe di 12 cifre e non contengono alcuna base di informazioni personali ( niente compleanni, niente parti di nomi, nessun nome di te stesso o di familiari, ecc.)

Un grande esempio: R4nD0mBa7te12rysT @ p1e

lungo, difficile da decifrare e facile da ricordare: è una graffetta a batteria casuale. buona fortuna a riconoscerlo al primo tentativo.

Ricorda, una password è solo una parte della sicurezza informatica. A questo livello con questo tipo di dati sensibili, dovresti anche disporre di altri metodi di protezione (2 fattori, RADIUS, altre cose simili ...)