Il tempo di cambio della password del team di computer è diverso dagli altri utenti?

Cosa dovrebbe essere nella tua politica. La tua politica dovrebbe specificare diverse cose:

• Lunghezza minima password / forza. Ad esempio, è necessario che la password abbia almeno 8 caratteri o più tempo.

• Metodi di selezione della password. Informare le persone su buoni modi per selezionare una password. Le persone non sono molto brave a scegliere password sicure, quindi la tua politica sulle password dovrebbe fornire indicazioni su come farlo. La soluzione migliore potrebbe essere quella di fornire loro uno strumento per generare automaticamente una password casuale per loro. In alternativa, puoi suggerire in che modo le persone possono scegliere da solo una password complessa (ad esempio, scegliere una frase breve che sarà memorizzata per loro e che nessun altro probabilmente utilizzerà).

• Gestione delle password. Dovresti dire alle persone di non condividere mai la loro password con nessun altro. Dovresti promettere loro che gli amministratori di sistema non chiederanno mai la loro password. Dovresti proibire agli amministratori di sistema e agli altri membri del personale di chiedere a chiunque la propria password. Devi specificare la penalità per le violazioni.

• Password in chiaro. Raccomando che la tua politica proibisca la trasmissione di password in chiaro sulla rete: in altre parole, dovrebbe richiedere che i servizi e le applicazioni interni siano progettati per evitare la trasmissione di password in chiaro attraverso la rete, e dovrebbe proibire servizi e applicazioni (es. Telnet ftp non anonimo) che trasmettono le password degli utenti non crittografate sulla rete. La tua politica potrebbe specificare un periodo di transizione e un processo per ottenere l'approvazione per le eccezioni, se necessario.

Cosa non dovrebbe essere nella tua politica. Devi non richiedere agli utenti di cambiare le loro password ogni 90 giorni . Questa è una pessima idea. È orribile per l'usabilità. E, non migliora la sicurezza: è una di quelle cose che suona superficialmente bene ai non esperti, ma in realtà non aggiunge alcun beneficio significativo che io conosca. In particolare, in realtà non aiuta a difendersi da alcun modello di minaccia realistico a me familiare. Se si è fortunati, è possibile che le persone scelgano una sequenza prevedibile di password (ad es., xlkjsadf1 , xlkjsadf2 , xlkjsadf3 , ecc.). Se sei meno fortunato, potrebbe peggiorare la sicurezza, costringendo le persone a scrivere la loro password da qualche parte (una nota adesiva gialla attaccata al loro monitor è il metodo tradizionale).

Possibilità di prendere in considerazione. A seconda delle circostanze, potresti anche considerare quanto segue:

• Autenticazione non password. Le password non sono l'end-all-be-all-user dell'autenticazione. Per attività ad alto rischio (ad es. Amministratori di sistema con accesso root / amministratore a macchine critiche), si potrebbe prendere in considerazione la richiesta di altre forme di autenticazione, come le carte RSA SecurID. In genere sono più sicuri delle password.

• impegno password. Ci sono alcuni casi in cui potresti voler richiedere ai dipendenti di depositare una copia di una password presso l'azienda. Un caso tipico è dove il dipendente si iscrive ad alcuni servizi esterni (ad es. Amazon EC2) e deve specificare un nome utente e una password per l'account con quel servizio, e dove il servizio esterno non fornisce alcun modo per collegare più di un nome utente con il servizio, e dove il servizio esterno è invocato o utilizzato da più persone in azienda. In tal caso, se il dipendente che ha creato l'account lascia la società, potresti perdere l'accesso all'account sul servizio esterno. Una soluzione è chiedere al dipendente di depositare la password che hanno creato per quell'account con l'azienda: ad esempio, metterla in una busta, sigillare la busta, firmare la falda e metterla in una cassastrong chiusa controllata dal loro capo o altro dipendente.