ユーザーパスワードの年齢/複雑さのポリシー

Question

ユーザーに適切なパスワードポリシーを決定するためのリソースを誰かが持っていますか？私の個人的な傾向は、パスワードの複雑さをラチェットし、一種の妥協としてパスワードを変更する頻度を減らすことです。私の平均的なユーザーは、5年または10年前よりも、いくつかの数字や特殊文字の混合に対する許容度が高いようです。

提案されたポリシー変更をバックアップするために使用できる経験則やリソースを探しています。または、経験豊富な人からの逸話的な情報ですら。

（私はセキュリティの第一人者からはほど遠いので、それを扱うのが曖昧な場合は、VPNとWebの観点から人々が何をしているのかに興味がありますが、内部のWindowsネットワークパスワードだけに適用するように質問を絞り込みましょう。サービスポリシー）

Brent · Accepted Answer

今日のランダムなブルートフォースパスワード攻撃の世界では、次のステートメントに同意する傾向があります。書き留めた適切なパスワードは、推測しやすい記憶されたパスワードよりも優れています

Scott · Answer

パスワードの強度の良い比較は次のとおりです。

http://www.lockdown.co.uk/?pg=combi

user640 · Answer

ユーザーが何を喜んで使用するかを検討することで、正しいことを行っています。頻繁に変更する必要のある非常に複雑なパスワードを強制すると、付箋の消費量が急増することに気付くでしょう。

Liudvikas Bukys · Answer

PurdueのCERIASのGene Spafford から、このトピックへの賢明な貢献があります。部分的な引用は次のとおりです。

では、「月に1回パスワードを変更する」という言葉はどこから来たのでしょうか。人々がネットワークなしでメインフレームを使用していた時代に、最大の制御されていない認証の懸念はクラッキングでした。しかし、リソースは限られていました。私が知る限り、一部のDoD請負業者は、メインフレームを使用してすべての可能なパスワードを実行するのにかかる時間について、封筒裏の計算を行い、その結果は数か月でした。そのため、彼らは（ある程度合理的に）体系的なクラッキングの試みを打ち負かす手段として1か月のパスワード変更期間を設定しました。その後、これは政策に祀られ、公表され、何年にもわたって他の人々に広く受け入れられました。時間が経つにつれて、監査人はこれを探し始め、彼らが期待した「ベストプラクティス」にそれを組み込むことになりました。また、セキュリティに関する推奨事項のいくつかのリストにも記載されています。

これは、合理的な分析により、毎月のパスワード変更がセキュリティの向上にほとんどまたはまったく影響を与えないことが示されているという事実にもかかわらずです。
これは、30年前のDoD環境でのネットワーク化されていないメインフレームの経験に基づく「ベストプラクティス」であり、今日のシステム、特に学界ではほとんど一致しません。

Wilka · Answer

私は、単語と数字を混ぜるよりも、長いパスワード（現実的には、複数の単語のフレーズを覚えていることを意味します）を好みます。人々に数字を追加するように強制すると、彼らはiを1に置き換えるなどの単純なことをする可能性が高くなりますが、セキュリティはあまり得られません。

http://www.iusmentis.com/security/passphrasefaq/

Pierre-Luc Simard · Answer

パスワードポリシーに関する資料はたくさんあります。見てみることをお勧めします

パスワードポリシーに関するウィキペディアの記事
SANS パスワードポリシードキュメント。
NIST sp800-118ドラフトタイトルエンタープライズパスワード管理ガイド

さて、 password sanity について何か言わなければなりません。実は覚えにくいパスワードが書き留められています。頻繁に変更する必要のあるパスワードについても同じことが言えます。要するに、それはあなたが保護しているものとあなたのユーザーベースに依存します。

The Fairy · Answer

ポリシーには、ユーザーがコンピューターを使用している目的、ユーザーがコンピューターで処理する機密情報の程度を反映する必要があります。ユーザーの設定を含めるだけの場合、攻撃を撃退するために他のすべてが整っていれば、それを大幅に強化する必要はありません。逆の場合は、覚えておくべき複雑なパスワードについてうめき声を上げるユーザーを苛立たせたいと思います。

私はいつも頭の中に約20の複雑なパスワードを持っていて、キーボードのパターンを使ってそれらを覚えておくためにそれらを作成し始めました。出発点とどのようなパターンを作るかを知るだけでよいので、簡単になります。誰もがパスワードの変更を嫌いますが、この手法を使用すると、パスワードを簡単に変更して覚えておくことができるため、セキュリティは厳しくなります。少なくとも私にとっては。一枚の紙に一文字書き留めても、どんなパターンを作るべきか思い出すことができますし、物事をあまりよく覚えていません。しかし、これが誰かに役立つかどうかはわかりません。

複雑なパスワードを難読化せずに書き留めるのは、私には間違っているように思えます。誰かが物理的にコンピュータに侵入しようとしている場合、あなたは彼らがいくつかの物語を探すと確信することができます。

Milner · Answer

私が医療機関で働いていたとき、私たちの要件のいくつかはHIPAAから来たと思います。私はSOXregs（私は今保険業界で順守していると思います）を見ていませんが、この種のことの基礎としていくつかの同様の言語を持っているかもしれません。

それを超えて、あなたがより大きなIT組織（より大きな企業の細分化）の一部である場合、その企業は順守できる規則を持っているかもしれません。

結論としては、どのようなポリシーが実装されても、それは上級管理職によって祝福され、できればすべてのスタッフが認識/遵守する必要のあるセキュリティまたはITポリシーに記述される必要があります。厳格である必要はありませんが（180日ごとにパスワードを変更し、アルファと数値の組み合わせ）、すべての人が要件を明確に理解できるように、会社のポリシーにする必要があります。

teh dave · Answer

いくつかの良い提案があったので、これを追加します：

ポリシーを免除できることを確認できる限り...私は良い記憶を持っているので、個人的には、6か月以上にわたって途方もなく複雑な18文字のパスワードを使用できることを好みます。月に一度交換しなければならないシンプルなもの。

小文字と大文字とスペースのみを使用する16文字のパスワードは、53 ^ 16の組み合わせまたは3.876 * 10 ^ 27を提供しますが、小文字と大文字、数字、記号を使用する10文字のパスワードは、95 ^ 10または5.987のみを提供することに注意してください。 * 10 ^ 19。