Alters- / Komplexitätsrichtlinie für Benutzerkennwörter

18

Hat jemand Ressourcen für die Festlegung einer angemessenen Kennwortrichtlinie für meine Benutzer? Mein persönliches Anliegen ist es, die Komplexität von Passwörtern zu verbessern und sie weniger häufig ändern zu lassen, als eine Art Kompromiss. Es scheint, dass mein durchschnittlicher Benutzer eine höhere Toleranz für das Einmischen einiger Zahlen und Sonderzeichen hat als vor 5 oder 10 Jahren.

Ich suche nach Faustregeln und / oder Ressourcen, mit denen ich meine vorgeschlagenen Richtlinienänderungen sichern kann. Oder sogar anekdotische Informationen von denen mit mehr Erfahrung.

(Ich bin weit davon entfernt, ein Sicherheitsguru zu sein. Wenn dies nur zu vage ist, beschränken wir die Frage auf interne Windows-Netzwerkkennwörter, obwohl ich daran interessiert bin, was die Leute in Bezug auf VPN und Web tun Servicerichtlinie)

security password Kara Marfia
quelle
Können Sie uns mehr über die Softwareumgebung erzählen, auf die Sie dies zuschneiden müssen? Windows, * nix, Plan9 ... ???
Quux
Eher eine politische Frage als technologie-spezifisch. Wahrscheinlich grenzt das an eine religiöse Diskussion, um zu klären, ob Sie eine andere Richtlinie für Windows- oder * nix-Boxen benötigen. ;)
Kara Marfia

Antworten:

20

In der heutigen Welt der zufälligen Brute-Force-Passwortangriffe stimme ich der Aussage eher zu: Ein gutes, aufgeschriebenes Passwort ist besser als ein auswendig gelerntes, leicht zu erratendes Passwort

Brent
quelle
1
Sie haben vergessen: ... aufgeschrieben und an einem geheimen Ort aufbewahrt. Nein, es unter die Tastatur zu legen zählt nicht ;-)
John Smithers
2
Eigentlich WÄRE ICH EINGESCHLOSSEN, "in aller Deutlichkeit niedergeschrieben und auf den Monitor geklebt" - einfach, weil so viele Angriffe aus der Ferne erfolgen, dass ein schlechtes Passwort ein VIEL größeres Risiko darstellt.
Brent
2
Für Leute, die ihre Passwörter immer wieder vergessen, würde ich empfehlen, dass sie dies tun, wenn sie es aufschreiben müssen, und es in ihre Brieftasche oder Handtasche stecken. Die Leute neigen nicht dazu, die herumliegen zu lassen und bemerken auch, ob sie verschwunden sind;)
Nathan
4
Nein nein Sie schreiben das richtige Passwort auf und bewahren es in Ihrer Brieftasche auf. Schreiben Sie dann das falsche Passwort auf und stecken Sie es unter Ihre Tastatur. Wenn Sie feststellen, dass Ihr Konto gesperrt ist, rufen Sie Ihr Sicherheitspersonal an.
Romandas
1
Jedes Mal, wenn ich ein Passwort aufschreibe, übe ich, am Anfang und am Ende ein paar Zeichen einzufügen. Ich weiß, dass sie extra sind, aber jeder andere würde es nicht tun. Ich denke, das würde mit Wörterbuchwörtern nicht so gut funktionieren.
Brent,
10

Hier ist ein guter Vergleich der Passwortstärke:

http://www.lockdown.co.uk/?pg=combi

Scott
quelle
Warum wird das abgelehnt? Scheint mir das zu sein, was der Fragesteller wollte.
Scott
Da es genau die Art von Informationen ist, nach denen ich gesucht habe, war meine Frage vielleicht fehlerhaft? Ich vermute, die Leute haben Einwände gegen Hyperlink-Antworten, aber ich bin mir nicht sicher, was noch gesagt werden muss.
Kara Marfia
Könnten Sie bitte etwas über den Link in Ihre Antwort schreiben, zum Beispiel, warum Sie denken, dass dieser Link in Bezug auf die Frage eine gute Lektüre ist?
Sam
9

Sie tun das Richtige, wenn Sie sich überlegen, mit was Ihre Benutzer arbeiten möchten. Wenn Sie hochkomplexe Passwörter erzwingen, die sich häufig ändern müssen, steigt der Verbrauch Ihrer Post-It-Notizen sprunghaft an.


quelle
+1, um Jons
Wiederholung
@tomjerdz: danke. Ich habe allerdings einen Screenshot gemacht;)
Das ist, was mein Arbeitgeber jetzt tut: 60 Tage, "3-von-4" und keine Wiederholungen in den letzten 24 Tagen. Also kommen alle auf leicht zu merkende "Variationen eines Themas". Leider nicht annähernd so "sicher" wie es sein sollte.
Warren
6

Gene Spafford von Purdues CERIAS liefert einen sinnvollen Beitrag zu diesem Thema . Hier ist ein teilweises Zitat:

Woher kommt also das Sprichwort „Passwort einmal im Monat ändern“? Damals, als die Leute Mainframes ohne Netzwerk verwendeten, war das größte Problem bei der unkontrollierten Authentifizierung das Knacken. Die Ressourcen waren jedoch begrenzt. Soweit ich das beurteilen kann, haben einige DoD-Auftragnehmer einige Berechnungen durchgeführt, um festzustellen, wie lange es dauern würde, bis alle möglichen Kennwörter auf ihrem Mainframe durchlaufen waren, und das Ergebnis betrug mehrere Monate. Aus diesem Grund setzen sie (einigermaßen vernünftigerweise) eine Kennwortänderungsfrist von einem Monat ein, um systematische Cracking-Versuche zu verhindern. Dies wurde dann in der Politik verankert, die im Laufe der Jahre veröffentlicht und von anderen weitgehend akzeptiert wurde. Im Laufe der Zeit begannen die Prüfer, danach zu suchen, und bauten es schließlich zu ihrer „Best Practice“ aus, die sie erwarteten.

Dies ist trotz der Tatsache, dass jede vernünftige Analyse zeigt, dass eine monatliche Passwortänderung keine oder nur geringe Auswirkungen auf die Verbesserung der Sicherheit hat!
Es handelt sich um eine bewährte Methode, die auf der Erfahrung vor 30 Jahren mit nicht vernetzten Mainframes in einer DoD-Umgebung basiert - kaum eine Übereinstimmung mit den heutigen Systemen, insbesondere im akademischen Bereich!

Liudvikas Bukys
quelle
+1 Interessant. Ich habe mich immer gefragt, wessen Idee das war.
sleske
4

Ich bin viel mehr für ein längeres Passwort (was realistischerweise bedeutet, dass Sie sich an mehrere Wörter erinnern müssen), anstatt Wörter und Zahlen zu mischen. Wenn Sie Leute dazu zwingen, Zahlen hinzuzufügen, tun sie eher einfache Dinge wie das Ersetzen von i durch 1 usw., was Ihnen nicht sehr viel Sicherheit bringt.

http://www.iusmentis.com/security/passphrasefaq/

Wilka
quelle
Passphrasen sind eine deutliche Verbesserung gegenüber Passwörtern in Bezug auf Einprägsamkeit und Komplexität.
Chris Upchurch
4

Es gibt Unmengen an Material in den Passwortrichtlinien. Ich empfehle einen Blick auf

Nun muss etwas über die Passwortsicherheit gesagt werden . Tatsache ist, dass schwer zu merkende Passwörter aufgeschrieben werden. Gleiches gilt für Passwörter, die zu oft geändert werden müssen. Unterm Strich kommt es darauf an, was Sie schützen und wie Ihre Nutzerbasis ist.

Pierre-Luc Simard
quelle
3

Die Richtlinie sollte widerspiegeln, wofür die Benutzer die Computer verwenden und wie sensibel die Benutzer mit diesen Informationen umgehen. Wenn es nur um die Präferenzen der Benutzer geht, muss es nicht wirklich stark verstärkt werden, wenn alles andere vorhanden ist, um Angriffe abzuwehren. Wenn das Gegenteil der Fall ist, hätte ich eher genervte Benutzer, die über komplexe Passwörter stöhnten, um sich zu erinnern.

Ich habe zu jeder Zeit etwa 20 komplexe Passwörter im Kopf, und ich habe begonnen, sie mithilfe von Mustern auf der Tastatur zu erstellen, um sie zu merken. Das macht es einfacher, da ich nur den Ausgangspunkt und das zu erstellende Muster kennen muss. Jeder hasst es, Passwörter zu ändern, aber diese Technik ermöglicht es mir, sie leicht zu ändern und sich zu merken, so dass die Sicherheit für mich zumindest eng ist. Ich kann sogar einen Buchstaben auf ein Blatt Papier schreiben und mich immer noch daran erinnern, welches Muster ich machen soll, und ich kann mich nicht wirklich gut an die Dinge erinnern. Ob dies jedoch für irgendjemanden von Nutzen ist, weiß ich nicht.

Ein komplexes Passwort aufzuschreiben, ohne es zu verschleiern, erscheint mir einfach falsch. Wenn jemand versucht, physisch in einen Computer einzudringen, können Sie sicher sein, dass er nach einer verräterischen Geschichte sucht.

Die Fee
quelle
1

Ich glaube, als ich für eine Gesundheitseinrichtung arbeitete, kamen einige unserer Anforderungen von der HIPAA. Ich habe mir die SOX-Regs nicht angesehen (an die ich mich in der Versicherungsbranche jetzt wohl gehalten habe), aber sie haben möglicherweise eine ähnliche Sprache als Grundlage für diese Art von Dingen.

Wenn Sie Teil einer größeren IT-Organisation sind (Unterabteilung in einem größeren Unternehmen), verfügt das Unternehmen möglicherweise über Regeln, die eingehalten werden können.

Das Fazit muss sein, dass, unabhängig davon, welche Richtlinie implementiert wird, diese von der Geschäftsleitung gesegnet und vorzugsweise in einer Sicherheits- oder IT-Richtlinie festgehalten wird, auf die alle Mitarbeiter aufmerksam gemacht werden müssen. Es muss nicht drakonisch sein (Passwort alle 180 Tage ändern, Kombination aus Alpha und Zahlen), aber es sollte eine Unternehmensrichtlinie sein, damit jeder die Anforderungen genau kennt.

Milner
quelle
0

Einige gute Vorschläge, also füge ich einfach Folgendes hinzu:

Solange Sie sicherstellen können, dass Sie von der Richtlinie ausgenommen sind ... Ich habe ein gutes Gedächtnis. Ich persönlich bevorzuge es, ein aus 18 Zeichen bestehendes Kennwort zu verwenden, das für 6 Monate oder länger als a lächerlich komplex ist Einfaches, das ich einmal im Monat wechseln muss.

Beachten Sie, dass ein 16-stelliges Kennwort, das nur Klein- und Großbuchstaben und Leerzeichen verwendet, 53 ^ 16 Kombinationen oder 3,876 * 10 ^ 27 ergibt, während ein 10-stelliges Kennwort, das Klein- und Großbuchstaben, Zahlen und Symbole verwendet, nur 95 ^ 10 oder 5,987 ergibt * 10 ^ 19.

die Dave
quelle