Vernünftige Passwortrichtlinie

Ich wurde beauftragt, die Sicherheitsrichtlinien des Unternehmens zusammenzustellen. Als Teil davon möchte ich definieren, was ein vernünftiges, aber sicheres Passwort ist (Länge, Zeichen usw.), wie oft sie geändert werden sollten, Länge des Passwortverlaufs und so weiter.

Natürlich muss ich Sicherheit gegen Praktikabilität abwägen.

Was halten die Leute im Allgemeinen für eine gute Passwortrichtlinie?

Wikipedia hat eine schöne Zusammenfassung zu diesem Thema

Allgemeine Kennwortpraxis Kennwortrichtlinien enthalten häufig Hinweise zur ordnungsgemäßen Kennwortverwaltung, z. B.:

• Niemals ein Computerkonto teilen
• Verwenden Sie niemals dasselbe Passwort für mehr als ein Konto
• Niemals jemandem ein Passwort mitteilen, auch nicht Personen, die behaupten, vom Kundendienst oder der Sicherheit zu stammen
• Schreiben Sie niemals ein Passwort auf
• Übermitteln Sie niemals ein Passwort per Telefon, E-Mail oder Instant Messaging
• Achten Sie darauf, sich abzumelden, bevor Sie einen Computer unbeaufsichtigt lassen
• Ändern von Passwörtern, wenn der Verdacht besteht, dass sie kompromittiert wurden
• Betriebssystemkennwort und Anwendungskennwörter sind unterschiedlich
• Das Passwort sollte alphanumerisch sein
• Machen Sie Passwörter VOLLSTÄNDIG zufällig, aber leicht zu merken

Vorschläge der TU Delft :

Merkmale akzeptabler Passwörter

• Ein Passwort enthält mindestens acht Zeichen und
• es enthält mindestens einen Großbuchstaben und
• es enthält mindestens einen Kleinbuchstaben und
• Es enthält mindestens eine Ziffer oder ein anderes Zeichen wie! @ # $% ^ & () {} [] <> ... und
• es ist kein Begriff in einer vertrauten Sprache oder Fachsprache, und
• es ist nicht identisch mit oder abgeleitet von dem zugehörigen Kontonamen, von persönlichen Merkmalen oder von Informationen aus dem eigenen familiären / sozialen Umfeld und
• es ist leicht zu merken, zum Beispiel durch einen Schlüsselsatz, und
• es kann fließend eingegeben werden.

Best Practices zum Schutz von Passwörtern

• Vermeiden Sie die Verwendung des gleichen Passworts für Beruf und Privatleben.
• Betrachten Sie alle Passwörter als vertrauliche Informationen und geben Sie sie nicht an die Konten von Kollegen, Familienmitgliedern oder anderen Bekannten weiter.
• Geben Sie keine Passwörter an Kollegen, den Chef oder andere Bekannte weiter, weder unter normalen Umständen noch im Falle von Urlaub oder Krankheit.
• Erwähnen Sie kein Passwort in der Öffentlichkeit, per Telefon oder in unverschlüsselter Kommunikation.
• Notieren Sie niemals ein Passwort an einem frei zugänglichen Ort.
• Geben Sie keine Hinweise auf die Mnemonik, mit der Sie sich Ihr Passwort merken.
• Geben Sie niemals Informationen zu einem Passwort in Fragebögen oder Sicherheitsformularen an.
• Wenn ein Missbrauch vermutet wird, melden Sie dies der Sicherheitsorganisation und ändern Sie sofort alle beteiligten Passwörter.
• Wenn jemand ein Passwort wissen möchte, verweisen Sie ihn auf diese Richtlinie.

Mit der zunehmenden Verbreitung von Keyloggern und Phishing-Angriffen kann es für Ihr Unternehmen erforderlich sein, Alternativen zu "starken" Passwörtern in Betracht zu ziehen. Siehe Bruce Schneiers Blog über das Papier Erfüllen starke Web-Passwörter etwas?

Ich würde dringend empfehlen, die Zwei-Faktor-Authentifizierung zu verwenden. Zwischen Fußbällen, SecureID und Yubikey ist es sehr einfach und relativ kostengünstig, einen zweiten Authentifizierungsfaktor zu implementieren.

Ich mag Passwordsafe , um Passwörter im Auge zu behalten.

Meine Vorschläge:

• Ermutigen Sie Passphrasen, keine Wörter. Eine Unsinnsphrase aus 3-4 Wörtern ist leichter zu merken als 8 verstümmelte Zeichen.

• Stellen Sie eine angemessene maximale Lebensdauer ein. 3 bis 6 Monate.

• Verlassen Sie sich nicht auf 1337 speak, um ein Passwort zu schützen. Brute-Force-Wörterbuch-Angreifer wie Crack führen seit fast 20 Jahren Buchstaben-> Zahlenänderungen durch. Benötigen Sie jedoch Buchstaben, Zahlen, Groß- und Kleinbuchstaben sowie Interpunktion.

• Verlassen Sie sich aus Sicherheitsgründen nicht auf nicht englische Wörter. Jeder Narr kann mehrere Wörterbücher in ein Programm laden. Es spielt keine Rolle, ob er die Sprache spricht oder nicht.

Für persönliche Sachen benutze ich

• Für wichtige Dinge; GMail, Webhost, Online-Banking - eine andere zufällig generierte 16-Bit-Version (A-Za-z0-9), die in einer KeePass -Datenbank auf DropBox gespeichert ist und mit einer komplexen, aber leicht zu merkenden Passphrase verschlüsselt ist. Vielleicht ein bisschen übereifrig, aber es ist nicht viel zusätzlicher Aufwand.
• Für häufig verwendete, weniger wichtige Dinge - Foren, Konten, die nichts mit Geld zu tun haben usw. - verwende ich eine Reihe einfacherer Passwörter.

Sie müssen eine "vernünftige" Frequenz für die Häufigkeit wählen, mit der sie geändert werden sollen. Zu schnell und die Leute degenerieren in <old_password>+<number>(oder ähnliches), so langsam und Sie erhöhen das Risiko, dass das Passwort kompromittiert wird. Es könnte sich lohnen zu untersuchen, ob es eine Regel gibt, die Sie einrichten können, um sich dagegen zu schützen.

Ebenso müssen Sie eine Regel haben, die besagt, dass ein Passwort nicht für so viele Änderungen (vielleicht 10) wiederverwendet werden kann, damit die Benutzer nicht nur zwischen zwei (oder drei) Passwörtern für ihr Konto wechseln.

Machen Sie das Passwort mindestens alphanumerisch mit mindestens einem Großbuchstaben. Um es etwas sicherer zu machen, muss mindestens ein nicht alphanumerisches Zeichen vorhanden sein.

Sie könnten so etwas wie einen Passwortgenerator wie SuperGenPass haben . Sie könnten also ein schwaches Passwort haben, aber die generierte Zeichenfolge wäre extrem stark. Das wäre aber mehr für Website-Logins.

Andere Optionen wären:

1. Verwenden Sie 1337 Speak in Passwörtern.
2. Verwenden Sie Phasen mit Interpunktion, z. B. Dies ist ein sehr sehr langes Passwort!
3. Schließen Sie sich den beiden an [Th1s, is a v3ry v3ry l0ng p4ssw0rd!]

Am Freitag musste ich mein Passwort bei meinem Kunden ändern. Die Regeln, die sie haben, sind lächerlich. Sie sind alle Standard-Großbuchstaben, Satzzeichen, Mindestlängen usw. sowie.

• Das erste Zeichen kann kein Interpunktionszeichen sein.
• Keine Wörterbuchwörter.
• Das gleiche Zeichen kann nicht zweimal verwendet werden.

Das Problem ist, dass sie so komplex sind, dass es fast unmöglich ist, eine zu finden, zumal die Fehlermeldung nicht die zusätzlichen Anforderungen angibt, die sie haben.

Ich rief den Helpdesk an und sie sagten, verwenden Sie einfach eine wie diese Pa5word # (nicht das echte Passwort) und erhöhen Sie dann die Nummer weiter ....

Ich finde diese Systeme völlig verrückt, da sie Sie davon abhalten, Passphrasen zu verwenden, zum Beispiel "thisismypasswordforjanurary" ist sehr leicht zu merken und sehr sicher, aber die meisten Systeme lassen diese Arten von Passphrasen nicht zu.

Ich würde also für eine hohe Mindestlänge stimmen, sagen wir 15 bis 20 Zeichen, damit die Leute nicht nur Wörter verwenden können und keine Passwörter im l33t-Stil erforderlich sind.

Was auch immer Sie wählen, ich würde sicherstellen, dass Sie dokumentieren, welche Einschränkungen bestehen und warum sie vorhanden sind, und einige Beispiele für Benutzer, mit denen sie sichere generieren können.

Die meisten Antworten hier gehen direkt auf Richtlinienvorschläge ein. Was die Frage beantwortet, das ist gut. Aber meiner Meinung nach müssen Sie sich zuerst fragen: Wie wichtig sind die Informationen, die Sie schützen?

Beispielsweise unterscheidet sich die Kennwortrichtlinie für das Verteidigungsministerium zum Schutz vertraulicher Informationen wahrscheinlich erheblich von der Richtlinie, die Sie für Wegwerf-E-Mail-Konten verwenden.

Kurzfassung:

Der Admin-Teil von mir sagt 12-16-stellige Passwörter mit Klein- und Großbuchstaben und Zahlen. Sollte auch einen zufälligen Textteil haben, der in keinem Wörterbuch enthalten ist. Sollte ausreichen, um netzwerkbasierte Brute-Force-Angriffe zu verhindern.

Als Benutzer mag ich Passwörter, die leicht zu merken sind, auch wenn sie lang sein können (ab 16 Zeichen). Sobald ich es auswendig gelernt habe, kann ich es schnell genug eingeben. Anstatt nur eine Richtlinie durchzusetzen, sollten Sie möglicherweise clevere Methoden finden, um Ihren Benutzern beizubringen, sichere und leicht zu merkende Kennwörter zu wählen, nicht nur zufällige Zeichen.