Scadenza e conformità della password (ISO, NIST, PCI, ecc.)

4

Sono abbastanza confuso su quale sia lo stato attuale nel 2017 per l'idea di scadenza / rotazione della password, in particolare per quanto riguarda le certificazioni di sicurezza come ISO, PCI, ecc. Continuo a leggere che la scadenza della password non è molto utile , ma ho trovato diverse diapositive dove sembra ancora essere parte delle politiche / regole (per ISO e PCI).

C'è una parte specifica che mi sembra un po 'innaturale, e questo è (supponendo che tu abbia una politica di password strong in atto, che abbiamo già) la necessità di memorizzare i vecchi hash delle password nel tuo database per impedire agli utenti dall'impostazione di una vecchia password quando la corrente scade.

Ho sempre (erroneamente) assunto che la scadenza si stava avvicinando al problema usando un angolo sociale, un modo per dire agli utenti che le password erano importanti. Quindi, la nuova password doveva essere diversa dalla corrente, ma senza verificare storicamente i record precedenti.

Ho avuto l'intuizione che questo non era sicuro, ma sembra che le grandi aziende lo usano per fornire suggerimenti sull'interfaccia utente (anche se penso che sia giusto presumere che queste organizzazioni possano avere un controllo molto migliore dei loro backup rispetto alle aziende più piccole, dove gli errori potrebbero essere più probabili).

Ho letto un articolo in cui sembra che il NIST non applicherà più la scadenza della password. Ad ogni modo, ora che il mio sistema ha una scadenza di password dovuta ai requisiti, pensavo che avrebbe avuto senso abbinare, in una certa misura, i requisiti presenti in queste certificazioni.

  • Qual è lo stato di scadenza / rotazione della password in queste certificazioni (ISO, PCI, ecc.) nel 2017 ?. Fa ancora parte di loro?.

  • Hanno come target / menzionato un numero / periodo di vecchie password che devi memorizzare ?.

Non ho accesso a nessuna documentazione originale poiché non siamo in alcun processo di adozione, ma sarebbe bene saperlo anche in generale.

    
posta IoChaos 07.06.2017 - 14:44
fonte

2 risposte

9

La versione attuale di PCI DSS è 3.2 , e nella sezione 8.2.4 richiede gli utenti di cambiare le loro password ogni 90 giorni. La Sezione 8.2.5 richiede che le password non siano le stesse di una delle quattro password precedenti (si noti che non prescrive come ciò debba essere realizzato, lo standard non specifica in modo specifico la "memorizzazione degli hash").

Tuttavia, questo documento non è chiaramente basato sulla sicurezza della password allo stato dell'arte poiché la sezione 8.2.3 dello stesso documento richiede che le password siano una "lunghezza minima di almeno sette caratteri" e includano "sia numeriche che alfabetiche personaggi." I moderni computer possono eseguire un software di password cracking che impone una password alfanumerica di 7 caratteri in pochi secondi. A causa di questo scarso requisito da solo, è difficile credere che i consigli sulla sicurezza delle password siano basati sulla ricerca o addirittura utili.

Detto questo, la nostra consapevolezza che questo standard non è abbastanza buono non significa che possiamo ignorarlo. Non importa cosa, siamo bloccati con una politica di rotazione di 90 giorni, indipendentemente dal fatto che fornisca o meno una difesa utile contro un utente malintenzionato o che esponga o meno i nostri utenti a disagi o rischi aggiuntivi, perché siamo contrattualmente obbligati a soddisfare il PCI standard. Invece, poiché siamo consapevoli che lo standard è inadeguato a questo proposito, ciò che dobbiamo fare è implementare una politica di sicurezza responsabile nelle nostre organizzazioni che risolva i problemi noti (richiedendo una password di 14 caratteri che soddisfi l'altro progetti di consigli NIST in 5.1.1.2, ad esempio) che soddisfano ancora tutti i requisiti del DSS. Avere una politica di sicurezza organizzativa e seguirla è il Requisito 12 del DSS, ed in realtà è molto buono.

    
risposta data 07.06.2017 - 15:20
fonte
2

Per rispondere innanzitutto alle tue domande, in una prospettiva ISO 27001, non prescrivi quale dovrebbe essere la durata della tua scadenza, né specifica quante vecchie password dovresti conservare.

Invece, fornisce linee guida generiche su Gestione password. Per motivi di conformità e amp; per soddisfare i revisori, è meglio avere una scadenza della password di non più di 90 giorni, & conservare almeno le ultime 2 password per impedire il riutilizzo.

ISO 27k1 fa esplicitamente menzione del fatto che dovremmo " mantenere un registro delle password usate in precedenza e impedire il riutilizzo ", ma non specifica quante di esse dovrebbero essere conservate.

Controllo completo e amp; l'implementazione menziona qualcosa di simile.

Control A.9.4.3

Password Management System shall be interactive and shall ensure quality Passwords.

Come da ISO 27001, un sistema di gestione password dovrebbe (con i miei commenti aggiunti).

  • mantenere la responsabilità imponendo l'uso di ID utente e password individuali.

  • Gli utenti dovrebbero essere in grado di selezionare & cambia la password quando necessario, in pratica significa che gli utenti hanno il controllo sulla propria password.

  • include una procedura di conferma per consentire errori di input per le volte in cui gli utenti commettono un errore durante l'accesso.

  • impone password di buona qualità, che dovrebbero idealmente essere definite nella tua politica delle password & applicato nella tua applicazione.

  • obbliga gli utenti a cambiare le loro password quando effettuano l'accesso per la prima volta, senza le quali è improbabile che gli utenti cambino la loro password predefinita. L'aggiornamento forzato della password deve essere implementato quando viene resettato anche dagli amministratori.

  • impone modifiche regolari alle password, che dovrebbero idealmente essere 90 giorni o meno. I revisori sembrano preferire 30 giorni ma potrebbe essere troppo.

  • conserva le password utilizzate in precedenza e ne impedisce il riutilizzo, ma non viene specificato il numero di password da salvare.

  • non vengono visualizzate le password sullo schermo quando vengono immesse, il che è logico.

  • memorizza i dati della password separatamente dai dati del sistema applicativo, anche se non sono sicuro di quanto sia pratico implementarlo da un punto di vista dell'architettura.

  • memorizza e trasmette le password in forma protetta, come SSL per le applicazioni online.

risposta data 07.06.2017 - 18:47
fonte

Leggi altre domande sui tag