回答:
ウィキペディアにはこのトピックに関する素晴らしい要約があります
一般的なパスワードの実践パスワードポリシーには、次のような適切なパスワード管理に関するアドバイスが含まれることがよくあります。
受け入れ可能なパスワードの特性
パスワードを保護するためのベストプラクティス
キーロガーとフィッシング攻撃の急増により、組織は「強力な」パスワードの代替手段を検討する必要があります。Bruce Schneierのブログ「強力なWebパスワードで何ができるか」についてのブログをご覧ください
2要素認証の使用を強くお勧めします。サッカー、SecureID、Yubikeyの間では、認証の2番目の要素を実装するのは非常に簡単で比較的安価です。
パスワードを追跡するためにPasswordsafeが好きです。
私の提案:
単語ではなくパスフレーズを推奨します。3〜4語で構成された意味のないフレーズは、文字化けした8文字より覚えやすいです。
適切な最大寿命を設定します。3〜6か月。
パスワードを保護するために1337の発言に依存しないでください。クラックなどの総当たり攻撃の辞書攻撃者は、20年近くの間、文字から数字への変更を行ってきました。ただし、文字、数字、大文字と小文字、句読点は必要です。
セキュリティのために、英語以外の単語に依存しないでください。どんな愚か者も、プログラムに複数の辞書をロードできます。彼がその言語を話すかどうかは関係ありません。
私が使う個人的なもの
それらを変更する頻度について、「実用的な」頻度を選択する必要があります。速すぎると、人々は<old_password>+<number>
(または類似の何か)に退化するので、ゆっくりとパスワードが危険にさらされるリスクが高まります。これを防ぐために設定できるルールがあるかどうか調査する価値があるかもしれません。
同様に、ユーザーが自分のアカウントの2つ(または3つ)のパスワードを交換するだけで済まないように、多くの変更(おそらく10)でパスワードを再利用できないというルールが必要です。
パスワードには、少なくとも1つの大文字を使用した英数字を使用してください。もう少し安全にするために、少なくとも1つの英数字以外の文字も必要です。
あなたはSuperGenPassのようなパスワードジェネレータのようなものを持つことができます。そのため、パスワードが弱い可能性がありますが、生成される文字列は非常に強力になります。しかし、それはウェブサイトのログインの方が多いでしょう。
その他のオプションは次のとおりです。
金曜日にクライアントサイトでパスワードを変更する必要がありました。彼らが持っているルールはばかげています。それらはすべて、大文字、句読点、最小長などが必要な標準的なものです。
問題は、それらが非常に複雑であり、特にエラーメッセージがそれらに追加の要件を通知していないため、1つを見つけることがほとんど不可能であることです。
私はヘルプデスクに電話をかけ、彼らは言った、このPa5word#(実際のパスワードではない)のようなものを使用し、番号を増やし続けてください...
たとえば、「thisismypasswordforjanurary」は覚えやすく、非常に安全ですが、ほとんどのシステムではこれらのタイプのパスフレーズを使用できません。
ですから、私は短い最小の長さに投票します。つまり、人々が単語を使用できるだけでなく、l33tスタイルのパスワードは必要ないように、15〜20文字を言います。
何を選択しても、制限とは何か、なぜ制限があるのか、ユーザーが安全な制限を生成するのに役立ついくつかの例を文書化します。
短縮版:
私の管理者の部分は、小文字と大文字の両方を含む12-16文字のパスワードと言っています。また、どの辞書にもないランダムなテキスト部分が必要です。ネットワークベースのブルートフォース攻撃を防ぐのに十分なはずです。
ユーザーとしては、長くても(16文字以上)覚えやすいパスワードが好きです。覚えてしまえば、すぐにタイプできます。おそらく、ポリシーを適用するだけでなく、ランダムな文字のチャンクではなく、安全で覚えやすいパスワードを選択するようにユーザーに教えるための巧妙な方法を見つける必要があります。