audit della forza della password e mitigazioni

0

Leggendo questo articolo sull'individuazione di password errate nell'azienda , mi ha fatto venire voglia di chiedere se qualcuno qui ha tentato una revisione come Questo. Sarebbe un attacco efficace: potrebbe esistere una buona politica di complessità della password e una buona politica di blocco degli account, ma se qualcuno vuole solo provare 100 password peggiori che ancora corrispondono alla politica e cambiare il nome utente con ciascun tentativo di accesso invece del password, quindi sembra che alla fine troveranno un utente con una password errata. Quindi le mie domande sono:

  1. qualcuno lo ha provato con gli hash di Active Directory? Come l'hai venduto alla gestione?
  2. Qualcuno ha utilizzato alcune strategie di mitigazione come il mantenimento di un elenco di 100 a 500 hash di password facili che soddisfano ancora le norme sulle password e impediscono agli utenti di utilizzarle? Quanto sarebbe efficace?
posta mcgyver5 08.10.2015 - 19:03
fonte

2 risposte

3

Sì, regolarmente. Per molti dei miei clienti creiamo politiche che richiedono almeno un audit annuale delle password su tutti i dispositivi, incluso Windows AD, che verifica gli account con le 500 password più popolari (e anche un elenco di password derivate dai loro nomi ecc. Usando varie codifiche ). Gli account in mancata conformità sono contrassegnati come se dovessero cambiare al successivo accesso e agli utenti viene ricordato il criterio di rafforzamento della password.

La gestione in ogni caso ha compreso i rischi di non controllare questo tipo di password debole e ha fornito supporto. Dato che il numero di violazioni diminuisce quasi sempre anno dopo anno, la "vendita" alla gestione sembra essere più facile.

    
risposta data 08.10.2015 - 19:47
fonte
0

L'episodio 436 della sicurezza settimanale conteneva una sezione sulla violazione delle password che potrebbe valere la pena di verificare se questo è nuovo terreno per te. Per quanto riguarda l'efficacia, puoi avere discussioni lunghe come hanno dimostrato gli hack recenti. Tutte le politiche relative alle password stanno costringendo le persone a creare password in uno spazio dei nomi più piccolo, quindi senza rigide norme sulle password. Oggi la maggior parte delle passwords inizia con un carattere maiuscolo e termina con uno o più numeri che nella maggior parte dei casi riflettono il mese o l'anno.

E venderlo alla gestione dipende dall'organizzazione. Verso il mio attuale cliente è stato più facile venderli meglio e in precedenza rilevamento di (possibile) abuso con più facile sblocco e reimpostazione dei conti e aggiunta di autenticazione a due fattori per servizi o servizi pubblici con dati / processi / conti ad alto rischio. Anche un buon processo automatico di joiners e leavers ha ridotto molto il rischio.

Creiamo ancora la password? Sì, ma soprattutto in caso di verifica durante una verifica. Il motivo principale è che abbiamo assegnato il denaro ad altre misure preventive, in quanto non è stato possibile verificare se le password non venissero riutilizzate all'esterno dell'azienda, ad esempio. Noi di "sicurezza e conformità" siamo passati dal reparto senza dipartimento al reparto che consente all'azienda di svolgere la propria attività in modo sicuro e con rischi ridotti. Ciò ha comportato orari più produttivi e minori interruzioni per clienti e utenti.

Quindi scopri come motivare la tua gestione in quanto alcuni vogliono avere tutte le zecche che devono avere per l'auditor / commercialista e non vogliono pagare più del dovuto. Altri potrebbero essere disposti a correre il rischio e dare un po 'di soldi a parte per tutto il tempo che possono fare profitti più alti.

Da un punto di vista tecnico è fantastico ottenere maggiore consapevolezza e portare la tua organizzazione a un livello superiore.

    
risposta data 09.10.2015 - 15:49
fonte