Come si può applicare IA-5 (1) (b) su sistemi non Windows?

4

Ho già postato una domanda per questo numero nei sistemi Windows e pensavo che i sistemi non Windows dovessero essere coperti separatamente.

In NIST SP 800-53 Rev. 3, IA-5 è l'indirizzo di controllo "Gestione Authenticator". I requisiti di questo controllo includono aspetti quali l'applicazione della lunghezza della password, la complessità, la durata, la cronologia e la corretta memorizzazione / trasmissione delle password.

Il primo miglioramento per questo controllo, che è selezionato per tutti i sistemi (Basso / Moderato / Alto) include questo requisito:

The information system, for password-based authentication:

...

(b) Enforces at least a [Assignment: organization-defined number of changed characters] when new passwords are created;

Nella maggior parte dei sistemi, è piuttosto facile trovare e configurare le regole che impongono password lunghe e complesse che vengono cambiate regolarmente e che non corrispondono esattamente a un certo numero di vecchie password. Ma come si implementa un criterio che richiede una certa quantità di caratteri da modificare con ogni nuova password?

Alcuni sistemi a cui sono interessato (sentiti libero di rivolgermi ad altri):

  • Mac OS X
  • Linux / Unix (Qualsiasi / tutti i gusti)
  • Cisco IOS
posta Iszi 19.04.2011 - 15:25
fonte

2 risposte

1

L'approccio che consiglierei alle aziende sarebbe quello di integrare questi sistemi con il servizio di directory, che per la maggior parte sarà Active Directory. In questo modo la politica della password viene impostata in un unico punto e offre altri vantaggi nella gestione del controllo degli accessi e dei ruoli in un unico posto. Puoi anche fornire autenticazione Single Sign-On e due fattori.

Indicazioni su come fare:

Per Cisco IOS tuttavia i server TACACS + o Radias sono il posto migliore per impostare la politica centralmente.

    
risposta data 19.04.2011 - 17:38
fonte
1

È piuttosto facile da fare con PAM, quindi copre almeno Linux / Solaris / FreeBSD. Tra le altre cose il modulo pam_cracklib offre tale funzionalità. L'impostazione predefinita è in realtà per verificare la presenza di cinque caratteri modificati, ma può essere configurata dall'opzione difok .

    
risposta data 27.04.2011 - 03:06
fonte

Leggi altre domande sui tag