Política de contraseña sensible

Me encargaron elaborar la política de seguridad de la empresa. Como parte de esto, quiero definir qué es una contraseña segura pero segura (longitud, caracteres, etc.), con qué frecuencia deben cambiarse, la duración del historial de contraseñas, etc.

Obviamente necesito equilibrar la seguridad con la practicidad.

¿Qué suele considerar la gente como una buena política de contraseña?

Wikipedia tiene un buen resumen sobre este tema

Práctica común de contraseñas Las políticas de contraseñas a menudo incluyen consejos sobre la gestión adecuada de contraseñas, tales como:

• nunca compartir una cuenta de computadora
• nunca usar la misma contraseña para más de una cuenta
• nunca decir una contraseña a nadie, incluidas las personas que dicen ser del servicio al cliente o de seguridad
• nunca escribir una contraseña
• nunca comunique una contraseña por teléfono, correo electrónico o mensajería instantánea
• teniendo cuidado de cerrar sesión antes de dejar una computadora desatendida
• cambiar las contraseñas siempre que haya sospechas de que pueden haber sido comprometidas
• la contraseña del sistema operativo y las contraseñas de las aplicaciones son diferentes
• la contraseña debe ser alfanumérica
• crea contraseñas COMPLETAMENTE aleatorias pero fáciles de recordar

Sugerencias de TU Delft :

Características de contraseñas aceptables

• una contraseña contiene al menos ocho caracteres y
• contiene al menos una letra mayúscula y
• contiene al menos una letra minúscula y
• contiene al menos un dígito u otro carácter como! @ # $% ^ & () {} [] <> ..., y
• no es un término en un lenguaje o jerga familiar, y
• no es idéntico ni deriva del nombre de la cuenta que lo acompaña, de las características personales o de la información del círculo familiar / social, y
• es fácil de recordar, por ejemplo, mediante una oración clave, y
• Se puede escribir con fluidez.

Mejores prácticas para proteger contraseñas

• evitar el uso de la misma contraseña para el trabajo y la vida privada;
• considere todas las contraseñas como información confidencial y no las comparta con las cuentas de colegas, familiares u otros conocidos;
• no revele las contraseñas a colegas, el jefe u otros conocidos, ni en circunstancias normales ni en caso de licencia o enfermedad;
• no mencione ninguna contraseña en público, por teléfono o en comunicación sin cifrar;
• nunca anote una contraseña en un lugar de libre acceso;
• no dé ninguna pista sobre el mnemotécnico utilizado para recordar su contraseña;
• nunca proporcione información sobre una contraseña en cuestionarios o formularios de seguridad;
• Si se sospecha un mal uso, informe esto a la organización de seguridad e inmediatamente cambie todas las contraseñas involucradas;
• Si alguien quiere saber una contraseña, remítalo a esta política.

Con la proliferación de keyloggers y ataques de phishing, puede ser conveniente que su organización considere alternativas a las contraseñas "seguras". Vea el blog de Bruce Schneier sobre el documento ¿Las contraseñas web fuertes logran algo?

Sugeriría encarecidamente utilizar la autenticación de dos factores. Entre balones de fútbol, ​​SecureID y Yubikey , es muy fácil y relativamente económico implementar un segundo factor de autenticación.

Me gusta Passwordsafe para hacer un seguimiento de las contraseñas.

Mis sugerencias:

• Fomentar frases de paso, no palabras. Una frase sin sentido compuesta por 3-4 palabras es más fácil de recordar que 8 caracteres confusos.

• Establezca una vida útil máxima razonable. De 3 a 6 meses.

• No confíe en 1337 speak para proteger una contraseña. Los atacantes de diccionario de fuerza bruta como Crack han estado haciendo cambios de letras-> números por cerca de 20 años. Pero requieren letras, números, mayúsculas y minúsculas y puntuación.

• No confíe en palabras que no están en inglés para mayor seguridad. Cualquier tonto puede cargar múltiples diccionarios en un programa. No importa si habla el idioma o no.

Para cosas personales que uso

• Por cosas importantes; GMail, Web Host, Banca en línea: un código aleatorio diferente de 16 bits generado (A-Za-z0-9) almacenado en una base de datos KeePass en DropBox encriptado con una frase de contraseña compleja pero fácil de recordar. Quizás un poco demasiado celoso, pero no es una molestia adicional.
• Para cosas comunes y menos importantes: foros, cuentas no relacionadas con dinero, etc., utilizo un conjunto de contraseñas más simples.

Debe elegir una frecuencia "sensible" para la frecuencia con la que deben cambiarse. Demasiado rápido y las personas se degenerarán <old_password>+<number>(o algo similar), muy lentamente y aumentará el riesgo de que la contraseña se vea comprometida. Puede valer la pena investigar si hay una regla que pueda establecer para protegerse contra esto.

Igualmente, debe tener una regla que diga que una contraseña no se puede reutilizar para tantos cambios (tal vez 10) para que las personas no solo intercambien entre dos (o tres) contraseñas por su cuenta.

Haga la contraseña al menos alfanumérica con al menos una mayúscula. Para hacerlo un poco más seguro, agregue que también debe haber al menos un carácter no alfanumérico.

Podría tener algo como un generador de contraseñas como SuperGenPass . Entonces podrían tener una contraseña débil pero la cadena generada sería extremadamente fuerte. Pero eso sería más para los inicios de sesión del sitio web.

Otras opciones serían:

1. Use 1337 hablar en contraseñas.
2. Utilice fases con puntuación, por ejemplo, ¡Esta es una contraseña muy, muy larga!
3. Unir los dos [Th1s, es un v3ry v3ry l0ng p4ssw0rd!]

El viernes tuve que cambiar mi contraseña en el sitio de mi cliente. Las reglas que tienen son ridículas. Son todos los estándares sobre mayúsculas, puntuación, longitud mínima, etc., así como.

• El primer carácter no puede ser un signo de puntuación.
• No hay palabras del diccionario.
• El mismo personaje no se puede usar dos veces.

El problema es que son tan complejos que es casi imposible encontrar uno, especialmente porque el mensaje de error no le indica los requisitos adicionales que tienen.

Llamé a la mesa de ayuda y me dijeron: solo use uno como este Pa5word # (no la contraseña real) y luego siga incrementando el número ...

Encuentro estos sistemas completamente locos, ya que le impiden usar frases de contraseña, por ejemplo, "thisismypasswordforjanurary" es muy fácil de recordar y muy seguro, pero la mayoría de los sistemas no permiten ese tipo de frases de contraseña.

Por lo tanto, votaría por una longitud mínima alta, digamos 15-20 caracteres de esa manera la gente no puede usar palabras y no se requieren contraseñas de estilo l33t.

Elija lo que elija, me aseguraría de documentar cuáles son las restricciones y por qué están allí y algunos ejemplos para que los usuarios los ayuden a generar otras seguras.

La mayoría de las respuestas aquí van directamente a sugerir políticas. Lo cual responde la pregunta, así que eso es bueno. Pero en mi opinión, debe preguntarse esto primero: ¿qué tan importante es la información que está protegiendo?

Por ejemplo, la política de contraseña para que el departamento de defensa asegure la información confidencial probablemente será bastante diferente de la política que usará para las cuentas de correo electrónico desechables.

Version corta:

La parte administrativa de mí dice contraseñas de 12-16 caracteres con letras minúsculas y mayúsculas y números. También debe tener una parte de texto aleatorio que no esté en ningún diccionario. Debería ser suficiente para prevenir ataques de fuerza bruta basados ​​en la red.

Como usuario, me gustan las contraseñas que son fáciles de recordar, a pesar de que pueden ser largas (16 caracteres en adelante). Una vez que lo memorice, puedo escribirlo lo suficientemente rápido. Tal vez, en lugar de solo aplicar una política, debería encontrar formas inteligentes de enseñar a sus usuarios a elegir contraseñas seguras y fáciles de recordar, no solo fragmentos aleatorios de caracteres.