賢明なパスワードポリシー

私は会社のセキュリティポリシーをまとめることを任されています。この一環として、賢明ではあるが安全なパスワード（長さ、文字など）、パスワードの変更頻度、パスワード履歴の長さなどを定義します。

もちろん、セキュリティと実用性のバランスをとる必要があります。

一般的に、人々は適切なパスワードポリシーをどのように考えていますか？

ウィキペディアにはこのトピックに関する素晴らしい要約があります

一般的なパスワードの実践パスワードポリシーには、次のような適切なパスワード管理に関するアドバイスが含まれることがよくあります。

• コンピュータアカウントを共有しない
• 複数のアカウントに同じパスワードを使用しない
• カスタマーサービスやセキュリティを利用していると主張する人を含め、誰にもパスワードを教えない
• パスワードを書き留めない
• 電話、電子メール、またはインスタントメッセージでパスワードを伝えない
• コンピュータから離れる前にログオフするように注意する
• 侵害された疑いがある場合は常にパスワードを変更する
• オペレーティングシステムのパスワードとアプリケーションのパスワードが異なる
• パスワードは英数字である必要があります
• パスワードを完全にランダムにするが覚えやすいようにする

デルフト工科大学からの提案：

受け入れ可能なパスワードの特性

• パスワードに8文字以上が含まれている。
• 少なくとも1つの大文字が含まれている。
• 少なくとも1つの小文字が含まれている。
• 少なくとも1桁または！@＃$％^＆（）{} [] <> ...などの文字が含まれている。
• おなじみの言語や専門用語の用語ではなく、
• 付随するアカウント名、個人の特徴、家族やソーシャルサークルの情報と同一ではない、またはそれらに由来しない
• 例えばキーセンテンスによって覚えやすい
• 流暢に入力できます。

パスワードを保護するためのベストプラクティス

• 仕事と私生活で同じパスワードを使用しないでください。
• すべてのパスワードを機密情報と見なし、同僚、家族、その他の知人のアカウントと共有しないでください。
• パスワードを同僚、上司、またはその他の知人に、通常の状況でも休暇や病気の場合でも、開示しないでください。
• 公の場、電話、または暗号化されていない通信でパスワードを言及しないでください。
• 自由にアクセスできる場所にパスワードを書き留めないでください。
• パスワードを記憶するために使用されるニーモニックについてのヒントを与えないでください。
• アンケートやセキュリティフォームでパスワードに関する情報を提供しないでください。
• 誤用が疑われる場合は、セキュリティ組織に報告し、関係するすべてのパスワードをすぐに変更してください。
• 誰かがパスワードを知りたい場合は、このポリシーを紹介します。

キーロガーとフィッシング攻撃の急増により、組織は「強力な」パスワードの代替手段を検討する必要があります。Bruce Schneierのブログ「強力なWebパスワードで何ができるか」についてのブログをご覧ください

2要素認証の使用を強くお勧めします。サッカー、SecureID、Yubikeyの間では、認証の2番目の要素を実装するのは非常に簡単で比較的安価です。

パスワードを追跡するためにPasswordsafeが好きです。

私の提案：

• 単語ではなくパスフレーズを推奨します。3〜4語で構成された意味のないフレーズは、文字化けした8文字より覚えやすいです。

• 適切な最大寿命を設定します。3〜6か月。

• パスワードを保護するために1337の発言に依存しないでください。クラックなどの総当たり攻撃の辞書攻撃者は、20年近くの間、文字から数字への変更を行ってきました。ただし、文字、数字、大文字と小文字、句読点は必要です。

• セキュリティのために、英語以外の単語に依存しないでください。どんな愚か者も、プログラムに複数の辞書をロードできます。彼がその言語を話すかどうかは関係ありません。

私が使う個人的なもの

• 重要なもののために; GMail、Webホスト、オンラインバンキング- 複雑であるが簡単に覚えられるパスフレーズで暗号化されたDropBoxのKeePass DBに保存された別の16ビットランダムに生成された（A-Za-z0-9）。おそらく少し熱心すぎるかもしれませんが、それほど面倒ではありません。
• 一般的で重要性の低いもの-フォーラム、お金に関係のないアカウントなどの場合、私はより単純なパスワードのセットを使用します。

それらを変更する頻度について、「実用的な」頻度を選択する必要があります。速すぎると、人々は<old_password>+<number>（または類似の何か）に退化するので、ゆっくりとパスワードが危険にさらされるリスクが高まります。これを防ぐために設定できるルールがあるかどうか調査する価値があるかもしれません。

同様に、ユーザーが自分のアカウントの2つ（または3つ）のパスワードを交換するだけで済まないように、多くの変更（おそらく10）でパスワードを再利用できないというルールが必要です。

パスワードには、少なくとも1つの大文字を使用した英数字を使用してください。もう少し安全にするために、少なくとも1つの英数字以外の文字も必要です。

あなたはSuperGenPassのようなパスワードジェネレータのようなものを持つことができます。そのため、パスワードが弱い可能性がありますが、生成される文字列は非常に強力になります。しかし、それはウェブサイトのログインの方が多いでしょう。

その他のオプションは次のとおりです。

1. 1337パスワードを使用してください。
2. 句読点を含むフェーズを使用してください。これは非常に長いパスワードです！
3. 2つに参加する[Th1s、is a v3ry v3ry l0ng p4ssw0rd！]

金曜日にクライアントサイトでパスワードを変更する必要がありました。彼らが持っているルールはばかげています。それらはすべて、大文字、句読点、最小長などが必要な標準的なものです。

• 最初の文字を句読点にすることはできません。
• 辞書の単語はありません。
• 同じ文字を2回使用することはできません。

問題は、それらが非常に複雑であり、特にエラーメッセージがそれらに追加の要件を通知していないため、1つを見つけることがほとんど不可能であることです。

私はヘルプデスクに電話をかけ、彼らは言った、このPa5word＃（実際のパスワードではない）のようなものを使用し、番号を増やし続けてください...

たとえば、「thisismypasswordforjanurary」は覚えやすく、非常に安全ですが、ほとんどのシステムではこれらのタイプのパスフレーズを使用できません。

ですから、私は短い最小の長さに投票します。つまり、人々が単語を使用できるだけでなく、l33tスタイルのパスワードは必要ないように、15〜20文字を言います。

何を選択しても、制限とは何か、なぜ制限があるのか​​、ユーザーが安全な制限を生成するのに役立ついくつかの例を文書化します。

ここでのほとんどのanwsersは、ポリシーの提案にまっすぐ行きます。質問に答えるのは良いことです。しかし、私の意見では、まずこれを自問する必要があります。保護している情報はどのくらい重要ですか？

たとえば、国防総省が機密情報を保護するためのパスワードポリシーは、使い捨ての電子メールアカウントに使用するポリシーとはかなり異なります。

短縮版：

私の管理者の部分は、小文字と大文字の両方を含む12-16文字のパスワードと言っています。また、どの辞書にもないランダムなテキスト部分が必要です。ネットワークベースのブルートフォース攻撃を防ぐのに十分なはずです。

ユーザーとしては、長くても（16文字以上）覚えやすいパスワードが好きです。覚えてしまえば、すぐにタイプできます。おそらく、ポリシーを適用するだけでなく、ランダムな文字のチャンクではなく、安全で覚えやすいパスワードを選択するようにユーザーに教えるための巧妙な方法を見つける必要があります。