web-dev-qa-db-ja.com

賢明なパスワードポリシー

私は会社のセキュリティポリシーをまとめる任務を負っています。その一環として、賢明で安全なパスワード(長さ、文字など)、変更の頻度、パスワード履歴の長さなどを定義したいと思います。

明らかに、セキュリティと実用性のバランスをとる必要があります。

人々は一般的に何を良いパスワードポリシーと考えていますか?

9
Jon Hopkins

ウィキペディアには このトピック に関する素晴らしい要約があります

一般的なパスワードの慣行パスワードポリシーには、次のような適切なパスワード管理に関するアドバイスが含まれていることがよくあります。

  • コンピュータアカウントを共有しない
  • 複数のアカウントに同じパスワードを使用しないでください
  • カスタマーサービスやセキュリティから来たと主張する人を含め、誰にもパスワードを教えないでください
  • パスワードを書き留めないでください
  • 電話、電子メール、またはインスタントメッセージングでパスワードを伝達しないでください
  • コンピュータを無人にする前にログオフするように注意してください
  • パスワードが侵害された疑いがある場合はいつでもパスワードを変更する
  • オペレーティングシステムのパスワードとアプリケーションのパスワードが異なります
  • パスワードは英数字である必要があります
  • パスワードを完全にランダムにしますが、覚えやすくします

提案 from TU Delft

受け入れ可能なパスワードの特性

  • パスワードには少なくとも8文字が含まれ、
  • 少なくとも1つの大文字が含まれ、
  • 少なくとも1つの小文字が含まれ、
  • 少なくとも1桁の数字、または!@#$%^&(){} [] <> ...などの別の文字が含まれています。
  • なじみのある言語や専門用語ではなく、
  • 付随するアカウント名、個人の特性、または家族/社会的サークルからの情報と同一または派生したものではありません。
  • たとえば、キーセンテンスを使用すると、覚えやすくなります。
  • 流暢に入力できます。

パスワードを保護するためのベストプラクティス

  • 仕事と私生活で同じパスワードを使用することは避けてください。
  • すべてのパスワードを機密情報と見なし、同僚、家族、または他の知人のアカウントと共有しないでください。
  • 通常の状況でも、休暇や病気の場合でも、同僚、上司、または他の知人にパスワードを明かさないでください。
  • 公の場、電話、または暗号化されていない通信でパスワードについて言及しないでください。
  • 自由にアクセスできる場所にパスワードを書き留めないでください。
  • パスワードを記憶するために使用されるニーモニックについてのヒントを与えないでください。
  • アンケートやセキュリティフォームでパスワードに関する情報を提供しないでください。
  • 誤用が疑われる場合は、セキュリティ組織に報告し、関連するすべてのパスワードをすぐに変更してください。
  • 誰かがパスワードを知りたい場合は、このポリシーを参照してください。
5
Ivo Flipse

キーロガーやフィッシング攻撃が急増しているため、組織は「強力な」パスワードの代替案を検討する必要があるかもしれません。 Bruce Schneierのブログ 論文について 強力なWebパスワードは何かを達成しますか? を参照してください。

二要素認証を使用することを強くお勧めします。フットボール、SecureID、および Yubikey の間では、認証の2番目の要素を実装するのは非常に簡単で比較的安価です。

3
pcapademic

私は Passwordsafe パスワードを追跡するのが好きです。

私の提案:

  • 単語ではなく、パスフレーズを奨励します。 3〜4語で構成される意味のないフレーズは、8文字の文字化けよりも覚えやすいです。

  • 妥当な最大寿命を設定します。 3〜6か月。

  • パスワードを保護するために1337speakに依存しないでください。 Crack などのブルートフォース辞書攻撃者は、20年近くの間文字->数字の変更を行ってきました。ただし、文字、数字、大文字と小文字、句読点は必要です。

  • セキュリティのために英語以外の単語に依存しないでください。愚か者なら誰でも、複数の辞書をプログラムにロードできます。彼がその言語を話すかどうかは関係ありません。

2
pgs

私が使う個人的なものには

  • 重要なことのために; Gmail、ウェブホスト、オンラインバンキング-複雑だが覚えやすいパスフレーズで暗号化されたDropBoxの KeePass DB に保存された別の16ビットランダム生成(A-Za-z0-9)。少し熱心すぎるかもしれませんが、それほど面倒なことではありません。
  • フォーラム、お金に関係のないアカウントなど、一般的でそれほど重要ではないものについては、より単純なパスワードのセットを使用します。
2
Tom

変更する頻度については、「適切な」頻度を選択する必要があります。速すぎると、人々は<old_password>+<number>(または同様のもの)に退化するため、遅すぎると、パスワードが危険にさらされるリスクが高まります。これを防ぐために設定できるルールがあるかどうかを調査する価値があるかもしれません。

同様に、パスワードを多くの変更(おそらく10回)に再利用できないというルールを設定して、アカウントの2つ(または3つ)のパスワードを交換するだけではないようにする必要があります。

パスワードは、少なくとも1つの大文字を使用して少なくとも英数字にします。少し安全にするために、少なくとも1つの英数字以外の文字も必要であることを追加します。

1
ChrisF

SuperGenPass のようなパスワードジェネレータのようなものがあります。したがって、パスワードが弱い可能性がありますが、生成される文字列は非常に強力です。しかし、それはウェブサイトのログインの場合はもっと多いでしょう。

その他のオプションは次のとおりです。

  1. パスワードで話す1337を使用します。
  2. 句読点のあるフェーズを使用します。これは非常に長いパスワードです!
  3. 2つを結合します[Th1、v3ry v3ry l0ng p4ssw0rdです!]
1
Stephen

短縮版:

私の管理者の部分は、小文字と大文字の両方と数字を含む12〜16文字のパスワードを言います。また、どの辞書にもないランダムなテキスト部分が必要です。ネットワークベースのブルートフォース攻撃を防ぐのに十分なはずです。

ユーザーとしては、長い(16文字以上)場合でも覚えやすいパスワードが好きです。覚えたら、十分速く入力できます。たぶん、ポリシーを適用するだけでなく、ランダムな文字の塊だけでなく、安全で覚えやすいパスワードを選択するようにユーザーに教える賢い方法を見つける必要があります。

金曜日に、クライアントサイトでパスワードを変更する必要がありました。彼らが持っているルールはばかげています。それらはすべて標準的なものであり、大文字、句読点、最小の長さなどが必要です。

  • 最初の文字を句読文字にすることはできません。
  • 辞書の単語はありません。
  • 同じ文字を2回使用することはできません。

問題は、それらが非常に複雑であるため、見つけることがほとんど不可能であるということです。特に、エラーメッセージには、追加の要件が示されていません。

ヘルプデスクに電話したところ、このPa5Word#(実際のパスワードではない)のようなものを使用して、番号を増やし続けると言われました..。

これらのシステムは、パスフレーズの使用を妨げるため、完全にクレイジーだと思います。たとえば、「thisismypasswordforjanurary」は覚えやすく、非常に安全ですが、ほとんどのシステムでは、これらのタイプのパスフレーズは許可されていません。

だから私は高い最小の長さに投票します。たとえば、15〜20文字で、人々は単語だけを使用できず、l33tスタイルのパスワードは必要ありません。

どちらを選択する場合でも、制限とは何か、制限がある理由、およびユーザーが安全な制限を生成するのに役立ついくつかの例を必ず文書化してください。

1
Bruce McLeod

ここでのほとんどの回答者は、ポリシーの提案に直行します。どちらが質問に答えるので、それは良いことです。しかし、私の意見では、最初にこれを自問する必要があります。保護している情報はどれほど重要ですか。

たとえば、国防総省が機密情報を保護するためのパスワードポリシーは、使い捨ての電子メールアカウントに使用するポリシーとはかなり異なる可能性があります。

1
Mark van Lent