Come posso scrivere una buona politica sulla password aziendale?

5

La nostra azienda lavora nell'ambito dell'assistenza sanitaria e abbiamo scritto una politica di sicurezza aziendale, comprese le password. Qualcosa che ho notato sulla politica e che ho commentato, dice che la password non dovrebbe contenere parole del dizionario. Lo spirito di questo è giusto, ma prendi la mia password per esempio, è più grande di 30 caratteri ed è una passphrase, contiene le parole del dizionario, ma al suo livello di complessità è irrilevante. Inoltre, ciò non elimina le password come p4$$w0rd0! che sono ugualmente dannose.

come possiamo scrivere una politica che incoraggi le persone a non utilizzare password errate, ma non esclude accidentalmente quelle buone?

    
posta xenoterracide 19.10.2015 - 18:07
fonte

3 risposte

1

IMO, i criteri in una politica dovrebbero essere espliciti, minimi e attuabili. "Non usare parole del dizionario", fa parte di un documento sulle migliori pratiche o della formazione sulla consapevolezza della sicurezza aziendale, non nella politica.

La politica dovrebbe specificare cose come lunghezza minima, criteri di complessità, età massima (e minima) per ogni categoria di password. È prassi comune richiedere password più lunghe per account con privilegi elevati.

In base alle attuali prestazioni di hash cracking della GPU, 10 caratteri scelti tra 96 (superiore, inferiore, cifre, speciale incluso lo spazio) è la lunghezza minima da considerare e 12 sarebbe una scelta molto più sicura. Negli ultimi anni c'è stata molta discussione sul valore attuale delle frequenti modifiche della password. Uno dei lati negativi da considerare è indotto cattivi comportamenti. Se gli utenti non riescono a ricordare la propria password perché viene cambiata ogni mese, la scriveranno o utilizzeranno password indovinate e comprometteranno il controllo.

Esorto caldamente l'adozione dell'autenticazione a due fattori, dell'autenticazione basata sul rischio e delle soluzioni di gestione degli accessi privilegiati.

    
risposta data 19.10.2015 - 20:07
fonte
0

Ci sono già alcune opzioni elencate che evidenziano la soluzione da un punto di vista manageriale. Trovo che un mix di controlli di gestione e controlli tecnici siano efficaci. Affidarsi a uno solo è destinato a fallire.

Da un approccio tecnico, puoi controllare alcuni dei requisiti tramite il criterio di gruppo di Windows. Da Criteri di gruppo, puoi controllare:

  • Numero di password precedenti memorizzate
  • Età minima password
  • Durata massima password
  • Lunghezza minima password
  • Se la password deve soddisfare un requisito di complessità

Con il requisito di complessità abilitato, sono necessari i seguenti 3 su 4:

  • English uppercase characters (A through Z).
  • English lowercase characters (a through z).
  • Base-10 digits (0 through 9).
  • Non-alphanumeric (for example, !, $, #, %). extended ASCII, symbolic, or linguistic characters.

Impostazione della complessità della password Microsoft

Una domanda riguardante le password del dizionario è stata anche sollevata su SuperUser . Sembra che ci sia una soluzione per controllare anche quello.

    
risposta data 19.10.2015 - 22:11
fonte
-1

Bene, c'è un modo semplice di verificare le password al momento della creazione con un programma o un algoritmo. Ciò tuttavia non è infallibile poiché alcuni possono ancora cadere attraverso le fessure (la regex è sorprendentemente difficile).

La verità delle password migliori è che possono essere BASATE sulle parole, ma non dovrebbero contenere parole FULL . Queste parole DEVONO essere scomposte con una differenza di caratteri (simbolo, numero, combinazione dei due, cambiamento del caso, ecc.), Più lunghe di 12 cifre e non contengono alcuna base di informazioni personali ( niente compleanni, niente parti di nomi, nessun nome di te stesso o di familiari, ecc.)

Un grande esempio: R4nD0mBa7te12rysT @ p1e

lungo, difficile da decifrare e facile da ricordare: è una graffetta a batteria casuale. buona fortuna a riconoscerlo al primo tentativo.

Ricorda, una password è solo una parte della sicurezza informatica. A questo livello con questo tipo di dati sensibili, dovresti anche disporre di altri metodi di protezione (2 fattori, RADIUS, altre cose simili ...)

    
risposta data 19.10.2015 - 20:12
fonte

Leggi altre domande sui tag