Política de idade / complexidade da senha do usuário

Alguém tem algum recurso para determinar uma política de senha razoável para meus usuários? Minha tendência pessoal é aumentar a complexidade da senha e permitir que eles sejam alterados com menos frequência como uma espécie de compromisso. Parece que meu usuário médio tem uma tolerância maior em misturar alguns números e caracteres especiais do que há 5 ou 10 anos atrás.

Estou procurando regras práticas e / ou recursos que possam ser usados ​​para fazer backup de minhas alterações de política propostas. Ou até mesmo informações anedóticas daqueles com mais experiência.

(Estou longe de ser um guru da segurança, por isso, se for muito vago, vamos restringir a questão a ser aplicada apenas às senhas de rede internas do Windows, embora eu esteja interessado no que as pessoas estão fazendo em termos de VPN e Web. política de serviço)

No mundo de hoje dos ataques aleatórios de senha de força bruta, costumo concordar com a afirmação de que: uma boa senha escrita é melhor do que uma senha memorizada fácil de adivinhar

Aqui está uma boa comparação da força da senha:

http://www.lockdown.co.uk/?pg=combi

Você está fazendo a coisa certa, considerando com o que seus usuários estão dispostos a trabalhar. Se você forçar senhas altamente complexas que precisam ser alteradas com frequência, verá que o consumo de notas post-it disparará.

Há uma contribuição sensata para este tópico de Gene Spafford no CERIAS de Purdue . Aqui está uma citação parcial:

Então, de onde veio o ditado "alterar senhas uma vez por mês"? Nos dias em que as pessoas usavam mainframes sem rede, a maior preocupação de autenticação não controlada era o crack. Os recursos, no entanto, eram limitados. Pelo melhor que pude encontrar, alguns contratados do Departamento de Defesa fizeram alguns cálculos detalhados sobre quanto tempo levaria para executar todas as senhas possíveis usando seu mainframe, e o resultado foi de vários meses. Portanto, eles (de maneira razoavelmente) definem um período de alteração de senha de 1 mês como forma de derrotar tentativas sistemáticas de cracking. Isso foi então consagrado na política, publicada e amplamente aceita por outras pessoas ao longo dos anos. Com o passar do tempo, os auditores começaram a procurar por isso e acabaram incorporando-o às “melhores práticas” esperadas.

Apesar de qualquer análise razoável mostrar que uma alteração mensal de senha tem pouco ou nenhum impacto final na melhoria da segurança!
É uma “melhor prática” baseada na experiência de 30 anos atrás com mainframes não conectados à rede em um ambiente DoD - dificilmente compatível com os sistemas atuais, especialmente na academia!

Sou muito mais a favor de uma senha mais longa (que, realisticamente, significa como em frases com várias palavras em que você vai se lembrar delas) em vez de misturar palavras e números. Se você forçar as pessoas a adicionar números, é mais provável que façam coisas simples, como substituir i por 1 etc., o que não lhe garante muita segurança.

http://www.iusmentis.com/security/passphrasefaq/

Há toneladas de material nas políticas de senha. Eu recomendo dar uma olhada

• O artigo da wikipedia sobre Política de senha
• Documento de Política de Senha do SANS .
• Rascunho do NIST sp800-118 intitulado Guide to Enterprise Password Management

Agora, algo deve ser dito sobre a integridade da senha . O fato é que as senhas difíceis de lembrar são anotadas. O mesmo vale para senhas que precisam ser alteradas com muita frequência. A linha inferior, depende do que você está protegendo e sua base de usuários.

A política deve refletir para que os usuários estão usando os computadores, como as informações confidenciais são manipuladas pelo usuário. Se é apenas para conter as preferências do usuário, você realmente não precisa disso muito fortalecido, se tudo estiver disponível para repelir ataques. Se o oposto é o caso, eu preferiria ter irritado os usuários que reclamavam de senhas complexas para lembrar.

Eu tenho cerca de 20 senhas complexas em minha cabeça o tempo todo e comecei a criá-las usando padrões no teclado para lembrá-las. Isso facilita, pois eu só preciso saber o ponto de partida e que tipo de padrão fazer. Todo mundo odeia alterar senhas, mas essa técnica me permite alterá-las facilmente e lembrá-las, para que a segurança seja rigorosa ... para mim, pelo menos. Posso até anotar uma carta em um pedaço de papel e ainda lembrar qual padrão fazer, e não me lembro muito bem das coisas. Se isso tem algum uso para alguém no entanto .. eu não sei.

Escrever uma senha complexa sem ofuscar parece errado para mim. Se alguém está tentando invadir um computador fisicamente, pode ter certeza de que ele procurará algum indicador.

Acredito que, quando trabalhei em uma instituição de saúde, alguns de nossos requisitos vieram do HIPAA. Eu não olhei para os registros SOX (que acho que agora aderem ao mundo dos seguros), mas eles podem ter uma linguagem semelhante como base para esse tipo de coisa.

Além disso, se você faz parte de uma organização de TI maior (subdivisão em uma corporação maior), a corporação pode ter regras que podem ser seguidas.

O ponto principal é que, qualquer que seja a política implementada, ela será abençoada pela gerência sênior e, de preferência, escrita em uma política de segurança ou de TI da qual todos os funcionários precisam estar cientes / aderentes. Ele não precisa ser draconiano (alterar a senha a cada 180 dias, combinação de alfa e números), mas deve ser a política da empresa para que todos sejam claros quanto ao requisito.

Foram algumas boas sugestões, então apenas adicionarei:

Contanto que você seja capaz de se isentar da política ... Tenho uma boa memória, então, pessoalmente, prefiro poder usar uma senha de 18 caracteres que seja ridiculamente complexa por 6 meses ou mais do que um simples que eu tenho que mudar uma vez por mês.

Lembre-se de que uma senha de 16 caracteres que usa apenas letras e espaços em minúsculas e maiúsculas fornece 53 ^ 16 combinações ou 3.876 * 10 ^ 27, enquanto que as senhas de 10 caracteres que usam letras minúsculas e maiúsculas, números e símbolos fornecem apenas 95 ^ 10 ou 5.987 * 10 ^ 19.