Política de edad / complejidad de la contraseña del usuario

18

¿Alguien tiene recursos para determinar una política de contraseña razonable para mis usuarios? Mi inclinación personal es aumentar la complejidad de las contraseñas y permitirles cambiarlas con menos frecuencia como una especie de compromiso. Parece que mi usuario promedio tiene una mayor tolerancia para mezclar algunos números y caracteres especiales que hace 5 o 10 años.

Estoy buscando reglas generales y / o recursos que pueda usar para respaldar mis cambios de política propuestos. O incluso información anecdótica de aquellos con más experiencia.

(Estoy lejos de ser un gurú de la seguridad, por lo que si eso es demasiado vago de tratar, limitemos la pregunta para aplicar solo a las contraseñas de red internas de Windows, aunque me interesaría lo que la gente está haciendo en términos de VPN y web política de servicio)

security password Kara Marfia
fuente
¿Puede contarnos más sobre el entorno de software al que necesita adaptar esto? Windows, * nix, Plan9 ... ???
quux
Más una cuestión de política que específica de tecnología. ¿Probablemente raya en una discusión religiosa para analizar si necesitaría una política diferente para windows vs. * nix boxes? ;)
Kara Marfia

Respuestas:

20

En el mundo actual de ataques aleatorios de contraseña de fuerza bruta, tiendo a estar de acuerdo con la afirmación de que: una buena contraseña escrita es mejor que una contraseña memorizada que es fácil de adivinar

Brent
fuente
1
Has olvidado: ... anotado y guardado en un lugar secreto. No, ponerlo debajo del teclado no cuenta ;-)
John Smithers
2
En realidad, INCLUIRÍA "escrito y pegado al monitor a simple vista", simplemente porque hay tantos ataques de forma remota, que una contraseña deficiente es un riesgo MUCHO mayor.
Brent
2
Para las personas que siguen olvidando sus contraseñas, les recomendaría que si tienen que escribirlas, lo hagan y las guarden en su billetera o cartera. La gente no tienden a dejar los que se encuentran alrededor y también aviso si han desaparecido;)
Nathan
44
No no. Escribe la contraseña correcta y la almacena en tu billetera, luego escribe la contraseña incorrecta y pégala debajo de tu teclado. Si encuentra su cuenta bloqueada, llame a su personal de seguridad.
romandas el
1
Cada vez que escribo una contraseña, practico agregar un par de caracteres al principio y al final. Sé que son extra, pero nadie más lo haría. Sin embargo, supongo que esto no funcionaría tan bien con las palabras del diccionario.
Brent
10

Aquí hay una buena comparación de la seguridad de la contraseña:

http://www.lockdown.co.uk/?pg=combi

Scott
fuente
¿Por qué se rechaza esto? Me parece que esto es lo que el autor de la pregunta quería.
Scott,
Dado que es exactamente el tipo de información que estaba buscando, ¿tal vez mi pregunta era defectuosa? Supongo que las personas se oponen a las respuestas de hipervínculo, pero no estoy seguro de qué más hay que decir.
Kara Marfia
¿Podría escribir algo sobre el enlace en su respuesta, por ejemplo, por qué cree que este enlace es una buena lectura con respecto a la pregunta?
Sam
9

Estás haciendo lo correcto al considerar con qué están dispuestos a trabajar tus usuarios. Si fuerza contraseñas muy complejas que deben cambiar con frecuencia, encontrará que su consumo de notas post-it se disparará.


fuente
+1 para obtener el representante de Jon de "666" ;-)
tomjedrz
@tomjerdz: gracias. Sin embargo, hice una captura de pantalla;)
eso es lo que hace mi empleador ahora: 60 días, "3 de 4", y no se repite en los últimos 24. Por lo tanto, a todos se les ocurren "variaciones sobre un tema" fáciles de recordar. No es tan "seguro" como debería ser, por desgracia.
warren
6

Hay una contribución sensata a este tema de Gene Spafford en CERIAS de Purdue . Aquí hay una cita parcial:

Entonces, ¿de dónde viene la frase "cambiar las contraseñas una vez al mes"? En los días en que las personas usaban mainframes sin redes, la mayor preocupación de autenticación incontrolada era la grieta. Los recursos, sin embargo, eran limitados. Lo mejor que puedo encontrar, algunos contratistas del Departamento de Defensa hicieron un cálculo de último momento sobre cuánto tiempo tomaría revisar todas las contraseñas posibles usando su mainframe, y el resultado fue de varios meses. Por lo tanto, (de manera bastante razonable) establecen un período de cambio de contraseña de 1 mes como un medio para vencer los intentos sistemáticos de descifrado. Esto se consagró en la política, que se publicó y fue ampliamente aceptado por otros a lo largo de los años. A medida que pasó el tiempo, los auditores comenzaron a buscar esto y terminaron convirtiéndolo en su "mejor práctica" que esperaban.

¡A pesar de que cualquier análisis razonable muestra que un cambio mensual de contraseña tiene poco o ningún impacto final en la mejora de la seguridad!
Es una "mejor práctica" basada en la experiencia de hace 30 años con mainframes no conectados en red en un entorno DoD, ¡difícilmente una coincidencia para los sistemas actuales, especialmente en el mundo académico!

Liudvikas Bukys
fuente
+1 Interesante. Siempre me pregunté de quién era esa idea.
sleske
4

Estoy mucho más a favor de una contraseña más larga (que, de manera realista, significa como en frases de varias palabras en las que vas a recordarlas) en lugar de mezclar palabras y números. Si obliga a las personas a agregar números, es más probable que hagan cosas simples como reemplazar i con 1, etc., lo que no le brinda mucha seguridad.

http://www.iusmentis.com/security/passphrasefaq/

Wilka
fuente
Las frases de contraseña son una mejora definitiva sobre las contraseñas en términos de memorabilidad y complejidad.
Chris Upchurch
4

Hay toneladas de material en las políticas de contraseña. Recomiendo echar un vistazo a

Ahora, hay que decir algo sobre la cordura de la contraseña . El hecho es que las contraseñas difíciles de recordar están escritas. Lo mismo ocurre con las contraseñas que deben cambiarse con demasiada frecuencia. En resumen, depende de lo que esté protegiendo y de su base de usuarios.

Pierre-Luc Simard
fuente
3

La política debe reflejar para qué usan los usuarios las computadoras y qué información confidencial maneja el usuario sobre ellas. Si es solo para contener las preferencias de los usuarios, realmente no lo necesita fortificado si todo lo demás está en su lugar para repeler los ataques. Si sucede lo contrario, preferiría que los usuarios molestos se quejaran de contraseñas complejas para recordar.

Tengo alrededor de 20 contraseñas complejas en mi cabeza en todo momento, y he comenzado a crearlas usando patrones en el teclado para recordarlas. Lo hace más fácil ya que solo necesito saber el punto de partida y qué tipo de patrón hacer. Todo el mundo odia cambiar las contraseñas, pero esta técnica me permite cambiarlas fácilmente y recordarlas, por lo que la seguridad es estricta ... al menos para mí. Incluso puedo anotar una letra en una hoja de papel y aún recordar qué patrón hacer, y realmente no recuerdo muy bien las cosas. Sin embargo, si esto tiene algún uso para alguien ... No lo sé.

Escribir una contraseña compleja sin ofuscar me parece incorrecto. Si alguien intenta ingresar físicamente a una computadora, puede estar seguro de que buscará algo revelador.

El Hada
fuente
1

Cuando trabajé para una institución de atención médica, creo que algunos de nuestros requisitos provienen de HIPAA. No he mirado las reglas SOX (que supongo que ahora adhiero en el mundo de los seguros), pero pueden tener un lenguaje similar como base para este tipo de cosas.

Más allá de eso, si forma parte de una organización de TI más grande (subdivisión en una corporación más grande), la corporación puede tener reglas que podrían cumplirse.

La conclusión debe ser que, cualquiera que sea la política que se implemente, debe ser bendecida por la alta gerencia, y preferiblemente redactada en una política de seguridad o TI que todo el personal debe conocer / cumplir. No necesita ser draconiano (cambiar la contraseña cada 180 días, combinación de alfa y numérico), pero debe ser una política de la empresa para que todos tengan claro el requisito.

Milner
fuente
0

He tenido algunas buenas sugerencias, así que solo voy a agregar esto:

Siempre que pueda asegurarse de que puede estar exento de la política ... Tengo buena memoria, así que personalmente prefiero poder usar una contraseña de 18 caracteres que es ridículamente compleja durante 6 meses o más que un simple que tengo que cambiar una vez al mes.

Tenga en cuenta que una contraseña de 16 caracteres que usa solo letras minúsculas y mayúsculas y espacios da 53 ^ 16 combinaciones o 3.876 * 10 ^ 27, mientras que las contraseñas de 10 caracteres que usan letras minúsculas y mayúsculas, números y símbolos solo dan 95 ^ 10 o 5.987 * 10 ^ 19.

te dave
fuente