ユーザーパスワードの年齢/複雑さのポリシー

18

ユーザーの合理的なパスワードポリシーを決定するためのリソースはありますか?私の個人的な好みは、パスワードの複雑さをラチェットアップし、一種の妥協としてパスワードの変更頻度を減らすことです。私の平均的なユーザーは、5年または10年前に比べて、いくつかの数字や特殊文字の混入に対する許容度が高いようです。

提案されたポリシー変更をバックアップするために使用できる経験則やリソースを探しています。または、より多くの経験を持つ人々からの逸話的な情報まで。

(私はセキュリティの第一人者とはほど遠いので、もしそれが対処するのがあいまいな場合は、内部のWindowsネットワークパスワードにのみ適用する質問を絞りましょう。ただし、VPNとWebに関して人々が何をしているのか興味があります。サービスポリシー)

security  password 
カラ・マルフィア
ソース
これを調整する必要があるソフトウェア環境について詳しく教えてください。Windows、* nix、Plan9 ... ???
quux
テクノロジー固有というよりも、ポリシーに関する質問です。おそらく宗教的な議論の境界線に沿って、ウィンドウと* nixボックスで異なるポリシーが必要かどうかを判断しますか?;)
カラマルフィア

回答:

20

ランダムなブルートフォースパスワード攻撃の今日の世界では、次のようなステートメントに同意する傾向があります。

ブレント
ソース
1
あなたは忘れました:...書き留めて、秘密の場所に保管します。いいえ、キーボードの下に置いてもカウントされません;
ジョンスミザーズ
2
実際、私は「書き留めて、目で見てモニターにテープで貼り付ける」ことを含めるべきです-単に多くの攻撃がリモートから来ているため、パスワードが不十分であるほどリスクが大きくなります。
ブレント
2
パスワードを忘れてしまう場合は、パスワードを書き留める必要がある場合は、パスワードを忘れずに財布や財布に入れることをお勧めします。人々は横になっている人を置き去りにしたり、彼らが姿を消したかどうかに気付いたりする傾向はありません;)
ネイサン
4
いやいや 正しいパスワードを書き留めてウォレットに保存し、間違ったパスワードを書き留めてキーボードの下に貼り付けます。アカウントがロックアウトされている場合は、セキュリティ担当者に連絡してください。
ロマンダ09
1
パスワードを書き留めるたびに、最初と最後に数文字を追加する練習をします。私はそれらが余分であることを知っていますが、他の誰もそうしません。しかし、これは辞書の単語ではあまりうまくいきません。
ブレント
10

パスワードの強度の良い比較は次のとおりです。

http://www.lockdown.co.uk/?pg=combi

スコット
ソース
なぜこれが投票されないのですか?これは、質問者が望んでいたことのように思えます。
スコット
それはまさに私が探していた種類の情報なので、たぶん私の質問に欠陥がありましたか?私は人々が裸のハイパーリンクの答えに反対していると推測していますが、他に何を言う必要があるのか​​わかりません。
カラマルフィア09
たとえば、このリンクが質問に関する良い読み物だと思う理由など、リンクに関する何かを回答に書いていただけますか?
サム、
9

ユーザーが何を使用するかを検討することで、正しいことを実行しています。頻繁に変更する必要のある非常に複雑なパスワードを強制すると、ポストイットノートの消費が急増することがわかります。

+1を使用して、ジョンの担当者を「666」から
引き離します;
@tomjerdz:ありがとう。ただし、スクリーンショットを撮りました;)
それが私の雇用主の今の仕事です。60日間、「3-of-4」で、過去24日間は繰り返されません。だから、誰もが覚えやすい「テーマのバリエーション」を思いつきます。残念ながら、「安全」とは言えません。
ウォーレン
6

Purdue's CERIASのGene Spaffordから、このトピックへの賢明な貢献があります。部分引用です:

では、「月に一度パスワードを変更する」という言葉はどこから来たのでしょうか?かつて人々がネットワークなしでメインフレームを使用していた時代に、認証されていない最大の懸念事項はクラッキングでした。しかし、リソースは限られていました。私の知る限りでは、一部のDoD請負業者は、メインフレームを使用してすべての可能なパスワードを実行するのにかかる時間について、背後で計算を行い、結果は数か月でした。そのため、体系的なクラッキングの試みに打ち勝つ手段として、パスワード変更期間を1か月に設定します(ある程度合理的です)。その後、これはポリシーに記載され、公開され、長年にわたって他者に広く受け入れられました。時間が経つにつれて、監査人はこれを探し始め、最終的に彼らが期待する「ベストプラクティス」に組み込みました。

これは、妥当な分析が毎月のパスワード変更がセキュリティの改善にほとんどまたはまったく影響を与えないことを示すという事実です。
これは、DoD環境でネットワーク化されていないメインフレームを使用した30年前の経験に基づく「ベストプラクティス」です。今日のシステム、特に学界ではほとんど一致しません。

リュドヴィカス・バキース
ソース
+1興味深い。誰のアイデアなのか、いつも疑問に思っていました。
sleske
4

私は、単語と数字を混ぜるのではなく、長いパスワード(実際には、あなたが覚えている複数の単語のフレーズのように意味します)を好んでいます。人々に数字の追加を強制すると、iを1に置き換えるなどの簡単なことをする可能性が高くなりますが、セキュリティはあまり向上しません。

http://www.iusmentis.com/security/passphrasefaq/

ウィルカ
ソース
パスフレーズは、覚えやすさと複雑さの点で、パスワードよりも明らかに改善されています。
クリスアップチャーチ
4

パスワードポリシーに関する資料には膨大な量があります。をご覧になることをお勧めします

今、パスワードの健全性について何か言わなければなりません。実際、覚えにくいパスワードは書き留められています。頻繁に変更する必要があるパスワードについても同じことが言えます。一番下の行、それはあなたが保護しているものとあなたのユーザーベースに依存します。

ピエール・リュック・シマール
ソース
3

ポリシーは、ユーザーがコンピューターを使用している目的、ユーザーがコンピューターで扱う機密情報の程度を反映する必要があります。ユーザーの好みを含めるだけの場合、攻撃を撃退するために他のすべてが整っていれば、それほど強化する必要はありません。反対の場合は、複雑なパスワードについてうめくユーザーに覚えておく必要があります。

私の頭の中には常に20個ほどの複雑なパスワードがあり、それらを覚えておくためにキーボードのパターンを使用して作成し始めました。開始点と作成するパターンの種類を知るだけでよいので、簡単になります。誰もがパスワードの変更を嫌いますが、この手法を使用すると、パスワードを簡単に変更して覚えることができるため、少なくとも私にとってセキュリティは厳しくなります。一枚の紙に1文字を書き留めて、どのパターンを作成するかを思い出すこともできますが、あまりよく覚えていません。しかし、もしこれが誰かに役立つなら..私にはわかりません。

複雑なパスワードを難読化せずに書き留めることは、私にとっては間違っているように思えます。誰かが物理的にコンピューターに侵入しようとしている場合、彼らは何らかの物語を探すことを確信できます。

妖精
ソース
1

私が医療機関で働いていたとき、私たちの要件のいくつかはHIPAAから来たと思います。私はSOX regsを見ていません(保険業界では今これを固守していると思います)が、この種のものの基礎として似たような言語を持っているかもしれません。

さらに、大規模なIT組織(大企業の下位部門)の一部である場合、企業には遵守できるルールがある場合があります。

結論としては、どのようなポリシーが実装されても、上級管理者に祝福され、できればすべてのスタッフが認識/順守する必要があるセキュリティまたはITポリシーに書かれている必要があります。厳格である必要はありません(180日ごとにパスワードを変更し、アルファベットと数字を組み合わせて)が、要件について誰もが明確に理解できるように会社のポリシーにする必要があります。

ミルナー
ソース
0

いくつかの良い提案があったので、これを追加します。

ポリシーを免除できることを確認できる限り、記憶力は十分にあるため、個人的には、6か月以上にわたって途方もなく複雑な18文字のパスワードを使用できることを好みます月に一度変更しなければならないシンプルなもの。

小文字と大文字とスペースのみを使用する16文字のパスワードは53 ^ 16の組み合わせまたは3.876 * 10 ^ 27を与えるのに対し、小文字と大文字、数字、記号を使用する10文字のパスワードは95 ^ 10または5.987のみを与えることに注意してください* 10 ^ 19。

デイブ
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.