Kebijakan usia pengguna / kompleksitas kata sandi

18

Adakah yang punya sumber daya untuk menentukan kebijakan kata sandi yang masuk akal untuk pengguna saya? Condong pribadi saya adalah untuk menambah kompleksitas kata sandi dan memungkinkan mereka untuk mengubahnya lebih jarang sebagai semacam kompromi. Tampaknya pengguna rata-rata saya memiliki toleransi yang lebih tinggi untuk menggabungkan beberapa angka dan karakter khusus daripada 5 atau 10 tahun yang lalu.

Saya mencari aturan praktis dan / atau sumber daya yang dapat saya gunakan untuk mendukung perubahan kebijakan yang saya usulkan. Atau bahkan info anekdotal dari mereka yang lebih berpengalaman.

(Saya jauh dari guru keamanan, jadi jika itu tidak jelas untuk ditangani, mari kita persempit pertanyaan untuk diterapkan hanya pada kata sandi jaringan Windows internal, meskipun saya akan tertarik pada apa yang dilakukan orang dalam hal VPN dan web kebijakan layanan)

security password Kara Marfia
sumber
Bisakah Anda memberi tahu kami lebih banyak tentang lingkungan perangkat lunak yang Anda butuhkan untuk menyesuaikan ini? Windows, * nix, Plan9 ... ???
quux
Lebih banyak pertanyaan kebijakan daripada spesifik teknologi. Mungkin berbatasan dengan diskusi keagamaan untuk masuk ke apakah Anda memerlukan kebijakan yang berbeda untuk windows vs * nix box? ;)
Kara Marfia

Jawaban:

20

Dalam dunia serangan brute force acak acak saat ini, saya cenderung setuju dengan pernyataan bahwa: kata sandi yang baik lebih baik daripada kata sandi yang dihafal yang mudah ditebak

Brent
sumber
1
Anda lupa: ... ditulis dan disimpan di tempat rahasia. Tidak, menempatkannya di bawah keyboard tidak dihitung ;-)
John Smithers
2
Sebenarnya, AKU AKAN TERMASUK "ditulis dan ditempelkan ke monitor di depan mata" - hanya karena begitu banyak serangan datang dari jarak jauh, bahwa kata sandi yang buruk adalah risiko yang JAUH lebih besar.
Brent
2
Untuk orang-orang yang terus lupa kata sandi mereka maka saya akan merekomendasikan bahwa jika mereka harus menuliskannya maka mereka melakukannya dan menaruhnya di dompet atau tas mereka. Orang-orang tidak cenderung meninggalkan mereka yang berbaring dan juga memperhatikan jika mereka telah menghilang;)
Nathan
4
Tidak tidak. Anda menuliskan kata sandi yang benar dan menyimpannya di dompet Anda, kemudian menuliskan kata sandi yang salah dan menempelkannya di bawah keyboard Anda. Jika Anda menemukan akun Anda terkunci, hubungi petugas keamanan Anda.
romandas
1
Setiap kali saya menuliskan kata sandi, saya membuat praktik menambahkan beberapa karakter ke awal dan akhir. Saya tahu mereka ekstra, tetapi orang lain tidak. Saya kira ini tidak akan bekerja dengan baik dengan kata-kata kamus.
Brent
10

Berikut perbandingan kekuatan kata sandi:

http://www.lockdown.co.uk/?pg=combi

Scott
sumber
Mengapa ini ditolak? Menurut saya inilah yang diinginkan si penanya.
Scott
Karena itu jenis informasi yang saya cari, mungkin pertanyaan saya cacat? Saya menduga orang keberatan dengan jawaban bare-hyperlink, tapi saya tidak yakin apa lagi yang perlu dikatakan.
Kara Marfia
Bisakah Anda menuliskan sesuatu tentang tautan itu ke dalam jawaban Anda, misalnya mengapa menurut Anda tautan ini adalah bacaan yang bagus mengenai pertanyaan itu?
Sam
9

Anda melakukan hal yang benar dengan mempertimbangkan keinginan pengguna untuk bekerja sama. Jika Anda memaksakan kata sandi yang sangat rumit yang harus sering diubah, Anda akan menemukan bahwa konsumsi post-it note Anda akan meroket.


sumber
+1 untuk mendapatkan perwakilan Jon dari "666" ;-)
tomjedrz
@ Tomjerdz: terima kasih. Saya memang mengambil tangkapan layar;)
itulah yang dilakukan oleh majikan saya sekarang: 60 hari, "3-dari-4", dan tidak ada pengulangan dalam 24 hari terakhir. Jadi semua orang datang dengan "variasi pada sebuah tema" yang mudah diingat. Sedih tidak seaman seharusnya, sedihnya.
warren
6

Ada kontribusi yang masuk akal untuk topik ini dari Gene Spafford di Purdue's CERIAS . Ini kutipan parsial:

Jadi dari mana datangnya "ganti kata sandi sebulan sekali"? Kembali pada hari-hari ketika orang menggunakan mainframe tanpa jaringan, masalah otentikasi terbesar yang tidak terkontrol adalah retak. Namun, sumber daya terbatas. Sejauh yang saya bisa temukan, beberapa kontraktor DoD melakukan perhitungan back-of-the-envelope tentang berapa lama waktu yang diperlukan untuk menjalankan semua kata sandi yang mungkin menggunakan mainframe mereka, dan hasilnya adalah beberapa bulan. Jadi, mereka (agak masuk akal) menetapkan periode perubahan kata sandi 1 bulan sebagai cara untuk mengalahkan upaya cracking sistematis. Ini kemudian diabadikan dalam kebijakan, yang dipublikasikan, dan sebagian besar diterima oleh orang lain selama bertahun-tahun. Seiring berjalannya waktu, auditor mulai mencari ini dan akhirnya membangunnya menjadi "praktik terbaik" yang mereka harapkan.

Ini SANGAT kenyataan bahwa analisis yang masuk akal menunjukkan bahwa perubahan kata sandi bulanan memiliki sedikit atau tidak ada dampak akhirnya pada peningkatan keamanan!
Ini adalah "praktik terbaik" berdasarkan pengalaman 30 tahun yang lalu dengan mainframe non-jaringan di lingkungan DoD — hampir tidak cocok dengan sistem saat ini, terutama di dunia akademis!

Liudvikas Bukys
sumber
+1 Menarik. Saya selalu bertanya-tanya ide siapa itu.
sleske
4

Saya jauh lebih menyukai kata sandi yang lebih panjang (yang, secara realistis, berarti seperti dalam frasa multi-kata karena Anda akan mengingatnya) daripada mencampur kata-kata dan angka. Jika Anda memaksa orang untuk menambahkan angka, mereka lebih cenderung melakukan hal-hal sederhana seperti mengganti saya dengan 1 dll.

http://www.iusmentis.com/security/passphrasefaq/

Wilka
sumber
Frasa sandi adalah peningkatan yang pasti atas kata sandi dalam hal kemampuan mengingat dan kompleksitas.
Chris Upchurch
4

Ada banyak materi tentang Kebijakan Kata Sandi. Saya sarankan untuk melihat

Sekarang, sesuatu harus dikatakan tentang kewarasan kata sandi . Faktanya adalah kata sandi yang sulit diingat dituliskan. Hal yang sama berlaku untuk kata sandi yang harus terlalu sering diubah. Intinya, itu tergantung pada apa yang Anda lindungi dan basis pengguna Anda.

Pierre-Luc Simard
sumber
3

Kebijakan tersebut harus mencerminkan untuk apa pengguna menggunakan komputer, seberapa sensitif informasi yang ditanganinya. Jika hanya berisi preferensi pengguna, Anda tidak benar-benar membutuhkannya dengan kuat jika segala sesuatu ada di tempat untuk mengusir serangan. Jika sebaliknya, saya lebih suka pengguna yang terganggu mengeluh tentang kata sandi yang rumit untuk diingat.

Saya memiliki sekitar 20-beberapa kata sandi kompleks di kepala saya setiap saat, dan saya sudah mulai membuat mereka menggunakan pola pada keyboard untuk mengingatnya. Itu membuatnya lebih mudah karena saya hanya perlu tahu titik awal dan pola apa yang harus dibuat. Semua orang benci mengubah kata sandi, tetapi teknik ini memungkinkan saya untuk mengubahnya dengan mudah dan mengingatnya, jadi keamanannya ketat .. setidaknya bagi saya. Saya bahkan dapat mencatat satu huruf di selembar kertas dan masih ingat pola apa yang harus dibuat, dan saya tidak terlalu mengingat banyak hal. Jika ini ada gunanya bagi siapa pun .. Saya tidak tahu.

Menuliskan kata sandi yang rumit tanpa membingungkan sepertinya salah bagi saya. Jika seseorang mencoba membobol komputer secara fisik, Anda bisa yakin mereka akan mencari tahu.

Sang Peri
sumber
1

Saya percaya, ketika saya bekerja untuk sebuah institusi kesehatan, bahwa beberapa persyaratan kami berasal dari HIPAA. Saya belum melihat SOX regs (yang saya kira sekarang saya patuhi di dunia asuransi), tetapi mereka mungkin memiliki beberapa bahasa yang mirip sebagai dasar untuk hal semacam ini.

Lebih dari itu, jika Anda bagian dari organisasi TI yang lebih besar (sub-divisi dalam perusahaan yang lebih besar) perusahaan tersebut mungkin memiliki aturan yang dapat dipatuhi.

Intinya adalah bahwa, apa pun kebijakan yang diterapkan, diberkati oleh manajemen senior, dan lebih disukai ditulis dalam kebijakan keamanan atau TI yang harus disadari oleh semua staf. Tidak perlu kejam (ubah kata sandi setiap 180 hari, kombinasi alfa dan angka), tetapi itu harus menjadi kebijakan perusahaan sehingga semua orang jelas tentang persyaratannya.

Milner
sumber
0

Ada beberapa saran bagus jadi saya hanya akan menambahkan ini:

Selama Anda dapat memastikan bahwa Anda dapat dibebaskan dari kebijakan ... Saya memiliki memori yang baik, jadi secara pribadi saya lebih memilih untuk dapat menggunakan kata sandi 18 karakter yang sangat rumit selama 6 bulan atau lebih dari satu. sederhana yang harus saya ganti sebulan sekali.

Perlu diingat bahwa kata sandi 16 karakter yang hanya menggunakan huruf dan huruf besar dan spasi memberikan 53 ^ 16 kombinasi atau 3,876 * 10 ^ 27, sedangkan kata sandi 10 karakter yang menggunakan huruf kecil dan besar, angka dan simbol hanya memberikan 95 ^ 10 atau 5,987 * 10 ^ 19.

teh
sumber