Política de edad / complejidad de la contraseña del usuario

¿Alguien tiene recursos para determinar una política de contraseña razonable para mis usuarios? Mi inclinación personal es aumentar la complejidad de las contraseñas y permitirles cambiarlas con menos frecuencia como una especie de compromiso. Parece que mi usuario promedio tiene una mayor tolerancia para mezclar algunos números y caracteres especiales que hace 5 o 10 años.

Estoy buscando reglas generales y / o recursos que pueda usar para respaldar mis cambios de política propuestos. O incluso información anecdótica de aquellos con más experiencia.

(Estoy lejos de ser un gurú de la seguridad, por lo que si eso es demasiado vago de tratar, limitemos la pregunta para aplicar solo a las contraseñas de red internas de Windows, aunque me interesaría lo que la gente está haciendo en términos de VPN y web política de servicio)

En el mundo actual de ataques aleatorios de contraseña de fuerza bruta, tiendo a estar de acuerdo con la afirmación de que: una buena contraseña escrita es mejor que una contraseña memorizada que es fácil de adivinar

Aquí hay una buena comparación de la seguridad de la contraseña:

http://www.lockdown.co.uk/?pg=combi

Estás haciendo lo correcto al considerar con qué están dispuestos a trabajar tus usuarios. Si fuerza contraseñas muy complejas que deben cambiar con frecuencia, encontrará que su consumo de notas post-it se disparará.

Hay una contribución sensata a este tema de Gene Spafford en CERIAS de Purdue . Aquí hay una cita parcial:

Entonces, ¿de dónde viene la frase "cambiar las contraseñas una vez al mes"? En los días en que las personas usaban mainframes sin redes, la mayor preocupación de autenticación incontrolada era la grieta. Los recursos, sin embargo, eran limitados. Lo mejor que puedo encontrar, algunos contratistas del Departamento de Defensa hicieron un cálculo de último momento sobre cuánto tiempo tomaría revisar todas las contraseñas posibles usando su mainframe, y el resultado fue de varios meses. Por lo tanto, (de manera bastante razonable) establecen un período de cambio de contraseña de 1 mes como un medio para vencer los intentos sistemáticos de descifrado. Esto se consagró en la política, que se publicó y fue ampliamente aceptado por otros a lo largo de los años. A medida que pasó el tiempo, los auditores comenzaron a buscar esto y terminaron convirtiéndolo en su "mejor práctica" que esperaban.

¡A pesar de que cualquier análisis razonable muestra que un cambio mensual de contraseña tiene poco o ningún impacto final en la mejora de la seguridad!
Es una "mejor práctica" basada en la experiencia de hace 30 años con mainframes no conectados en red en un entorno DoD, ¡difícilmente una coincidencia para los sistemas actuales, especialmente en el mundo académico!

Estoy mucho más a favor de una contraseña más larga (que, de manera realista, significa como en frases de varias palabras en las que vas a recordarlas) en lugar de mezclar palabras y números. Si obliga a las personas a agregar números, es más probable que hagan cosas simples como reemplazar i con 1, etc., lo que no le brinda mucha seguridad.

http://www.iusmentis.com/security/passphrasefaq/

Hay toneladas de material en las políticas de contraseña. Recomiendo echar un vistazo a

• El artículo de wikipedia sobre Política de contraseñas
• Documento de política de contraseña de SANS .
• NIST sp800-118 borrador titulado Guía para la gestión de contraseñas empresariales

Ahora, hay que decir algo sobre la cordura de la contraseña . El hecho es que las contraseñas difíciles de recordar están escritas. Lo mismo ocurre con las contraseñas que deben cambiarse con demasiada frecuencia. En resumen, depende de lo que esté protegiendo y de su base de usuarios.

La política debe reflejar para qué usan los usuarios las computadoras y qué información confidencial maneja el usuario sobre ellas. Si es solo para contener las preferencias de los usuarios, realmente no lo necesita fortificado si todo lo demás está en su lugar para repeler los ataques. Si sucede lo contrario, preferiría que los usuarios molestos se quejaran de contraseñas complejas para recordar.

Tengo alrededor de 20 contraseñas complejas en mi cabeza en todo momento, y he comenzado a crearlas usando patrones en el teclado para recordarlas. Lo hace más fácil ya que solo necesito saber el punto de partida y qué tipo de patrón hacer. Todo el mundo odia cambiar las contraseñas, pero esta técnica me permite cambiarlas fácilmente y recordarlas, por lo que la seguridad es estricta ... al menos para mí. Incluso puedo anotar una letra en una hoja de papel y aún recordar qué patrón hacer, y realmente no recuerdo muy bien las cosas. Sin embargo, si esto tiene algún uso para alguien ... No lo sé.

Escribir una contraseña compleja sin ofuscar me parece incorrecto. Si alguien intenta ingresar físicamente a una computadora, puede estar seguro de que buscará algo revelador.

Cuando trabajé para una institución de atención médica, creo que algunos de nuestros requisitos provienen de HIPAA. No he mirado las reglas SOX (que supongo que ahora adhiero en el mundo de los seguros), pero pueden tener un lenguaje similar como base para este tipo de cosas.

Más allá de eso, si forma parte de una organización de TI más grande (subdivisión en una corporación más grande), la corporación puede tener reglas que podrían cumplirse.

La conclusión debe ser que, cualquiera que sea la política que se implemente, debe ser bendecida por la alta gerencia, y preferiblemente redactada en una política de seguridad o TI que todo el personal debe conocer / cumplir. No necesita ser draconiano (cambiar la contraseña cada 180 días, combinación de alfa y numérico), pero debe ser una política de la empresa para que todos tengan claro el requisito.

He tenido algunas buenas sugerencias, así que solo voy a agregar esto:

Siempre que pueda asegurarse de que puede estar exento de la política ... Tengo buena memoria, así que personalmente prefiero poder usar una contraseña de 18 caracteres que es ridículamente compleja durante 6 meses o más que un simple que tengo que cambiar una vez al mes.

Tenga en cuenta que una contraseña de 16 caracteres que usa solo letras minúsculas y mayúsculas y espacios da 53 ^ 16 combinaciones o 3.876 * 10 ^ 27, mientras que las contraseñas de 10 caracteres que usan letras minúsculas y mayúsculas, números y símbolos solo dan 95 ^ 10 o 5.987 * 10 ^ 19.