私は会社のセキュリティポリシーをまとめる任務を負っています。その一環として、賢明で安全なパスワード(長さ、文字など)、変更の頻度、パスワード履歴の長さなどを定義したいと思います。
明らかに、セキュリティと実用性のバランスをとる必要があります。
人々は一般的に何を良いパスワードポリシーと考えていますか?
ウィキペディアには このトピック に関する素晴らしい要約があります
一般的なパスワードの慣行パスワードポリシーには、次のような適切なパスワード管理に関するアドバイスが含まれていることがよくあります。
提案 from TU Delft :
受け入れ可能なパスワードの特性
パスワードを保護するためのベストプラクティス
キーロガーやフィッシング攻撃が急増しているため、組織は「強力な」パスワードの代替案を検討する必要があるかもしれません。 Bruce Schneierのブログ 論文について 強力なWebパスワードは何かを達成しますか? を参照してください。
二要素認証を使用することを強くお勧めします。フットボール、SecureID、および Yubikey の間では、認証の2番目の要素を実装するのは非常に簡単で比較的安価です。
私は Passwordsafe パスワードを追跡するのが好きです。
私の提案:
単語ではなく、パスフレーズを奨励します。 3〜4語で構成される意味のないフレーズは、8文字の文字化けよりも覚えやすいです。
妥当な最大寿命を設定します。 3〜6か月。
パスワードを保護するために1337speakに依存しないでください。 Crack などのブルートフォース辞書攻撃者は、20年近くの間文字->数字の変更を行ってきました。ただし、文字、数字、大文字と小文字、句読点は必要です。
セキュリティのために英語以外の単語に依存しないでください。愚か者なら誰でも、複数の辞書をプログラムにロードできます。彼がその言語を話すかどうかは関係ありません。
私が使う個人的なものには
変更する頻度については、「適切な」頻度を選択する必要があります。速すぎると、人々は<old_password>+<number>
(または同様のもの)に退化するため、遅すぎると、パスワードが危険にさらされるリスクが高まります。これを防ぐために設定できるルールがあるかどうかを調査する価値があるかもしれません。
同様に、パスワードを多くの変更(おそらく10回)に再利用できないというルールを設定して、アカウントの2つ(または3つ)のパスワードを交換するだけではないようにする必要があります。
パスワードは、少なくとも1つの大文字を使用して少なくとも英数字にします。少し安全にするために、少なくとも1つの英数字以外の文字も必要であることを追加します。
SuperGenPass のようなパスワードジェネレータのようなものがあります。したがって、パスワードが弱い可能性がありますが、生成される文字列は非常に強力です。しかし、それはウェブサイトのログインの場合はもっと多いでしょう。
その他のオプションは次のとおりです。
短縮版:
私の管理者の部分は、小文字と大文字の両方と数字を含む12〜16文字のパスワードを言います。また、どの辞書にもないランダムなテキスト部分が必要です。ネットワークベースのブルートフォース攻撃を防ぐのに十分なはずです。
ユーザーとしては、長い(16文字以上)場合でも覚えやすいパスワードが好きです。覚えたら、十分速く入力できます。たぶん、ポリシーを適用するだけでなく、ランダムな文字の塊だけでなく、安全で覚えやすいパスワードを選択するようにユーザーに教える賢い方法を見つける必要があります。
金曜日に、クライアントサイトでパスワードを変更する必要がありました。彼らが持っているルールはばかげています。それらはすべて標準的なものであり、大文字、句読点、最小の長さなどが必要です。
問題は、それらが非常に複雑であるため、見つけることがほとんど不可能であるということです。特に、エラーメッセージには、追加の要件が示されていません。
ヘルプデスクに電話したところ、このPa5Word#(実際のパスワードではない)のようなものを使用して、番号を増やし続けると言われました..。
これらのシステムは、パスフレーズの使用を妨げるため、完全にクレイジーだと思います。たとえば、「thisismypasswordforjanurary」は覚えやすく、非常に安全ですが、ほとんどのシステムでは、これらのタイプのパスフレーズは許可されていません。
だから私は高い最小の長さに投票します。たとえば、15〜20文字で、人々は単語だけを使用できず、l33tスタイルのパスワードは必要ありません。
どちらを選択する場合でも、制限とは何か、制限がある理由、およびユーザーが安全な制限を生成するのに役立ついくつかの例を必ず文書化してください。
ここでのほとんどの回答者は、ポリシーの提案に直行します。どちらが質問に答えるので、それは良いことです。しかし、私の意見では、最初にこれを自問する必要があります。保護している情報はどれほど重要ですか。
たとえば、国防総省が機密情報を保護するためのパスワードポリシーは、使い捨ての電子メールアカウントに使用するポリシーとはかなり異なる可能性があります。