Política de contraseña sensible


9

Me encargaron elaborar la política de seguridad de la empresa. Como parte de esto, quiero definir qué es una contraseña segura pero segura (longitud, caracteres, etc.), con qué frecuencia deben cambiarse, la duración del historial de contraseñas, etc.

Obviamente necesito equilibrar la seguridad con la practicidad.

¿Qué suele considerar la gente como una buena política de contraseña?

Respuestas:


5

Wikipedia tiene un buen resumen sobre este tema

Práctica común de contraseñas Las políticas de contraseñas a menudo incluyen consejos sobre la gestión adecuada de contraseñas, tales como:

  • nunca compartir una cuenta de computadora
  • nunca usar la misma contraseña para más de una cuenta
  • nunca decir una contraseña a nadie, incluidas las personas que dicen ser del servicio al cliente o de seguridad
  • nunca escribir una contraseña
  • nunca comunique una contraseña por teléfono, correo electrónico o mensajería instantánea
  • teniendo cuidado de cerrar sesión antes de dejar una computadora desatendida
  • cambiar las contraseñas siempre que haya sospechas de que pueden haber sido comprometidas
  • la contraseña del sistema operativo y las contraseñas de las aplicaciones son diferentes
  • la contraseña debe ser alfanumérica
  • crea contraseñas COMPLETAMENTE aleatorias pero fáciles de recordar

Sugerencias de TU Delft :

Características de contraseñas aceptables

  • una contraseña contiene al menos ocho caracteres y
  • contiene al menos una letra mayúscula y
  • contiene al menos una letra minúscula y
  • contiene al menos un dígito u otro carácter como! @ # $% ^ & () {} [] <> ..., y
  • no es un término en un lenguaje o jerga familiar, y
  • no es idéntico ni deriva del nombre de la cuenta que lo acompaña, de las características personales o de la información del círculo familiar / social, y
  • es fácil de recordar, por ejemplo, mediante una oración clave, y
  • Se puede escribir con fluidez.

Mejores prácticas para proteger contraseñas

  • evitar el uso de la misma contraseña para el trabajo y la vida privada;
  • considere todas las contraseñas como información confidencial y no las comparta con las cuentas de colegas, familiares u otros conocidos;
  • no revele las contraseñas a colegas, el jefe u otros conocidos, ni en circunstancias normales ni en caso de licencia o enfermedad;
  • no mencione ninguna contraseña en público, por teléfono o en comunicación sin cifrar;
  • nunca anote una contraseña en un lugar de libre acceso;
  • no dé ninguna pista sobre el mnemotécnico utilizado para recordar su contraseña;
  • nunca proporcione información sobre una contraseña en cuestionarios o formularios de seguridad;
  • Si se sospecha un mal uso, informe esto a la organización de seguridad e inmediatamente cambie todas las contraseñas involucradas;
  • Si alguien quiere saber una contraseña, remítalo a esta política.

3

Con la proliferación de keyloggers y ataques de phishing, puede ser conveniente que su organización considere alternativas a las contraseñas "seguras". Vea el blog de Bruce Schneier sobre el documento ¿Las contraseñas web fuertes logran algo?

Sugeriría encarecidamente utilizar la autenticación de dos factores. Entre balones de fútbol, ​​SecureID y Yubikey , es muy fácil y relativamente económico implementar un segundo factor de autenticación.


2

Me gusta Passwordsafe para hacer un seguimiento de las contraseñas.

Mis sugerencias:

  • Fomentar frases de paso, no palabras. Una frase sin sentido compuesta por 3-4 palabras es más fácil de recordar que 8 caracteres confusos.

  • Establezca una vida útil máxima razonable. De 3 a 6 meses.

  • No confíe en 1337 speak para proteger una contraseña. Los atacantes de diccionario de fuerza bruta como Crack han estado haciendo cambios de letras-> números por cerca de 20 años. Pero requieren letras, números, mayúsculas y minúsculas y puntuación.

  • No confíe en palabras que no están en inglés para mayor seguridad. Cualquier tonto puede cargar múltiples diccionarios en un programa. No importa si habla el idioma o no.


+1 para contraseña segura. En realidad, no conozco la mayoría de mis contraseñas, y todas son diferentes, incluso todas las tiendas web aleatorias.
RBerteig

Un buen recordatorio de que la simple sustitución de números / letras no es una buena defensa. ¿Asumo que las grietas del diccionario son completamente cómodas con las personas que simplemente agregan números también?
Jon Hopkins

@Tyrannosaurs: si puede automatizarse, puede apostar que alguien lo ha intentado. Los ataques de diccionario son lentos, pero fácilmente paralelizados. Imagina una contraseña de ataque de bot-net.
pgs

Creo que una buena pregunta aquí es: ¿deberían los administradores de contraseñas formar parte de la política de seguridad de una empresa? ¿Debería permitirse a los usuarios regulares (excepto probablemente los de TI) tener administradores de contraseñas en sus estaciones de trabajo?
Isxek

Yo personalmente no tengo ningún problema con eso. Puedo restablecer las contraseñas en cualquier máquina que administre, y otras máquinas no son mi problema. Por supuesto, el inicio de sesión único y los permisos administrados adecuadamente son mejores que las contraseñas múltiples y un administrador de contraseñas.
pgs

2

Para cosas personales que uso

  • Por cosas importantes; GMail, Web Host, Banca en línea: un código aleatorio diferente de 16 bits generado (A-Za-z0-9) almacenado en una base de datos KeePass en DropBox encriptado con una frase de contraseña compleja pero fácil de recordar. Quizás un poco demasiado celoso, pero no es una molestia adicional.
  • Para cosas comunes y menos importantes: foros, cuentas no relacionadas con dinero, etc., utilizo un conjunto de contraseñas más simples.

1

Debe elegir una frecuencia "sensible" para la frecuencia con la que deben cambiarse. Demasiado rápido y las personas se degenerarán <old_password>+<number>(o algo similar), muy lentamente y aumentará el riesgo de que la contraseña se vea comprometida. Puede valer la pena investigar si hay una regla que pueda establecer para protegerse contra esto.

Igualmente, debe tener una regla que diga que una contraseña no se puede reutilizar para tantos cambios (tal vez 10) para que las personas no solo intercambien entre dos (o tres) contraseñas por su cuenta.

Haga la contraseña al menos alfanumérica con al menos una mayúscula. Para hacerlo un poco más seguro, agregue que también debe haber al menos un carácter no alfanumérico.


1

Podría tener algo como un generador de contraseñas como SuperGenPass . Entonces podrían tener una contraseña débil pero la cadena generada sería extremadamente fuerte. Pero eso sería más para los inicios de sesión del sitio web.

Otras opciones serían:

  1. Use 1337 hablar en contraseñas.
  2. Utilice fases con puntuación, por ejemplo, ¡Esta es una contraseña muy, muy larga!
  3. Unir los dos [Th1s, es un v3ry v3ry l0ng p4ssw0rd!]


SuperGenPass no es para que pueda tener una contraseña maestra débil, solo para que solo tenga que recordar una contraseña segura. Esta es una distinción importante.
itsadok

No hay razón para pensar que el intercambio de números por vocales ofrecerá protección alguna.
Chris Burgess

1

El viernes tuve que cambiar mi contraseña en el sitio de mi cliente. Las reglas que tienen son ridículas. Son todos los estándares sobre mayúsculas, puntuación, longitud mínima, etc., así como.

  • El primer carácter no puede ser un signo de puntuación.
  • No hay palabras del diccionario.
  • El mismo personaje no se puede usar dos veces.

El problema es que son tan complejos que es casi imposible encontrar uno, especialmente porque el mensaje de error no le indica los requisitos adicionales que tienen.

Llamé a la mesa de ayuda y me dijeron: solo use uno como este Pa5word # (no la contraseña real) y luego siga incrementando el número ...

Encuentro estos sistemas completamente locos, ya que le impiden usar frases de contraseña, por ejemplo, "thisismypasswordforjanurary" es muy fácil de recordar y muy seguro, pero la mayoría de los sistemas no permiten ese tipo de frases de contraseña.

Por lo tanto, votaría por una longitud mínima alta, digamos 15-20 caracteres de esa manera la gente no puede usar palabras y no se requieren contraseñas de estilo l33t.

Elija lo que elija, me aseguraría de documentar cuáles son las restricciones y por qué están allí y algunos ejemplos para que los usuarios los ayuden a generar otras seguras.


Este es uno común en los sistemas militares, debe cambiar la contraseña cada mes y no puede reutilizar las últimas 12 contraseñas. El resultado es que las personas simplemente ponen un número o la fecha al final de las contraseñas simples
Martin Beckett

1

La mayoría de las respuestas aquí van directamente a sugerir políticas. Lo cual responde la pregunta, así que eso es bueno. Pero en mi opinión, debe preguntarse esto primero: ¿qué tan importante es la información que está protegiendo?

Por ejemplo, la política de contraseña para que el departamento de defensa asegure la información confidencial probablemente será bastante diferente de la política que usará para las cuentas de correo electrónico desechables.


1

Version corta:

La parte administrativa de mí dice contraseñas de 12-16 caracteres con letras minúsculas y mayúsculas y números. También debe tener una parte de texto aleatorio que no esté en ningún diccionario. Debería ser suficiente para prevenir ataques de fuerza bruta basados ​​en la red.

Como usuario, me gustan las contraseñas que son fáciles de recordar, a pesar de que pueden ser largas (16 caracteres en adelante). Una vez que lo memorice, puedo escribirlo lo suficientemente rápido. Tal vez, en lugar de solo aplicar una política, debería encontrar formas inteligentes de enseñar a sus usuarios a elegir contraseñas seguras y fáciles de recordar, no solo fragmentos aleatorios de caracteres.

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.