Ho già postato una domanda per questo numero nei sistemi Windows e pensavo che i sistemi non Windows dovessero essere coperti separatamente.
In NIST SP 800-53 Rev. 3, IA-5 è l'indirizzo di controllo "Gestione Authenticator". I requisiti di questo controllo includono aspetti quali l'applicazione della lunghezza della password, la complessità, la durata, la cronologia e la corretta memorizzazione / trasmissione delle password.
Il primo miglioramento per questo controllo, che è selezionato per tutti i sistemi (Basso / Moderato / Alto) include questo requisito:
The information system, for password-based authentication:
...
(b) Enforces at least a [Assignment: organization-defined number of changed characters] when new passwords are created;
Nella maggior parte dei sistemi, è piuttosto facile trovare e configurare le regole che impongono password lunghe e complesse che vengono cambiate regolarmente e che non corrispondono esattamente a un certo numero di vecchie password. Ma come si implementa un criterio che richiede una certa quantità di caratteri da modificare con ogni nuova password?
Alcuni sistemi a cui sono interessato (sentiti libero di rivolgermi ad altri):
- Mac OS X
- Linux / Unix (Qualsiasi / tutti i gusti)
- Cisco IOS