Politique d'âge / complexité du mot de passe utilisateur

18

Quelqu'un a-t-il des ressources pour déterminer une politique de mot de passe raisonnable pour mes utilisateurs? Mon penchant personnel est d'augmenter la complexité des mots de passe et de leur permettre de les changer moins souvent comme une sorte de compromis. Il semble que mon utilisateur moyen ait une tolérance plus élevée pour le mélange de certains chiffres et caractères spéciaux qu'il y a 5 ou 10 ans.

Je recherche des règles générales et / ou des ressources que je peux utiliser pour sauvegarder mes modifications de politique proposées. Ou même des informations anecdotiques de ceux qui ont plus d'expérience.

(Je suis loin d'être un gourou de la sécurité, donc si c'est trop vague à traiter, limitons la question à appliquer uniquement aux mots de passe de réseau Windows internes, bien que je serais intéressé par ce que les gens font en termes de VPN et web politique de service)

security password Kara Marfia
la source
Pouvez-vous nous en dire plus sur l'environnement logiciel auquel vous devez adapter cela? Windows, * nix, Plan9 ... ???
quux
Plus une question politique que spécifique à la technologie. Limite probablement à une discussion religieuse pour savoir si vous auriez besoin d'une politique différente pour les fenêtres par rapport aux boîtes * nix? ;)
Kara Marfia

Réponses:

20

Dans le monde actuel des attaques aléatoires par mot de passe par force brute, j'ai tendance à être d'accord avec la déclaration suivante: un bon mot de passe écrit vaut mieux qu'un mot de passe mémorisé facile à deviner

Brent
la source
1
Vous avez oublié: ... écrit et conservé dans un endroit secret. Non, le mettre sous le clavier ne compte pas ;-)
John Smithers
2
En fait, JE VOUDRAIS INCLURE "écrit et scotché sur le moniteur bien en vue" - simplement parce que tant d'attaques viennent à distance, qu'un mauvais mot de passe est BEAUCOUP plus de risques.
Brent
2
Pour les gens qui oublient toujours leurs mots de passe, je recommanderais que s'ils doivent l'écrire, ils le fassent et le mettent dans leur portefeuille ou leur sac à main. Les gens n'ont pas tendance à laisser ceux qui traînent et remarquent également s'ils ont disparu;)
Nathan
4
Non non. Vous écrivez le bon mot de passe et le stockez dans votre portefeuille, puis vous écrivez le mauvais mot de passe et le collez sous votre clavier. Si vous trouvez votre compte verrouillé, appelez votre personnel de sécurité.
romandas
1
Chaque fois que j'écris un mot de passe, j'ai l'habitude d'ajouter quelques caractères au début et à la fin. Je sais qu'ils sont supplémentaires, mais personne d'autre ne le ferait. Je suppose que cela ne fonctionnerait pas si bien avec les mots du dictionnaire.
Brent
10

Voici une bonne comparaison de la force du mot de passe:

http://www.lockdown.co.uk/?pg=combi

Scott
la source
Pourquoi cela est-il rejeté? Il me semble que c'est ce que le demandeur voulait.
Scott
Puisque c'est exactement le genre d'information que je cherchais, ma question était peut-être erronée? Je suppose que les gens s'opposent aux réponses à hyperlien nu, mais je ne sais pas quoi dire d'autre.
Kara Marfia
Pourriez-vous s'il vous plaît écrire quelque chose sur le lien dans votre réponse, par exemple pourquoi vous pensez que ce lien est une bonne lecture concernant la question?
Sam
9

Vous faites ce qu'il faut en considérant avec quoi vos utilisateurs sont prêts à travailler. Si vous forcez des mots de passe très complexes qui doivent changer fréquemment, vous constaterez que votre consommation de post-it montera en flèche.


la source
+1 pour retirer le représentant de Jon de "666" ;-)
tomjedrz
@tomjerdz: merci. J'ai pris une capture d'écran, cependant;)
c'est ce que mon employeur fait maintenant: 60 jours, "3 sur 4", et aucune répétition dans les 24 derniers. Donc, tout le monde propose des "variations sur un thème" faciles à retenir. Malheureusement, ce n'est pas aussi «sûr» qu'il devrait l'être.
warren
6

Il y a une contribution sensible à ce sujet de Gene Spafford au CERIAS de Purdue . Voici une citation partielle:

D'où vient donc le dicton «changer les mots de passe une fois par mois»? À l'époque où les gens utilisaient des ordinateurs centraux sans réseau, le plus gros problème d'authentification non contrôlé était le crack. Cependant, les ressources étaient limitées. Du mieux que je peux trouver, certains sous-traitants du DoD ont fait un calcul de fond de panier sur le temps qu'il faudrait pour parcourir tous les mots de passe possibles à l'aide de leur ordinateur central, et le résultat a été plusieurs mois. Ainsi, ils ont (assez raisonnablement) fixé une période de changement de mot de passe d'un mois comme moyen de vaincre les tentatives de craquage systématiques. Cela a ensuite été inscrit dans la politique, qui a été publiée et largement acceptée par d'autres au fil des ans. Au fil du temps, les auditeurs ont commencé à chercher cela et ont fini par l'intégrer dans leur «meilleure pratique» à laquelle ils s'attendaient.

C'est MALGRÉ le fait que toute analyse raisonnable montre qu'un changement de mot de passe mensuel a peu ou pas d'impact final sur l'amélioration de la sécurité!
Il s'agit d'une «meilleure pratique» basée sur l'expérience d'il y a 30 ans avec des mainframes non connectés en réseau dans un environnement DoD, ce qui ne correspond guère aux systèmes d'aujourd'hui, en particulier dans le monde universitaire!

Liudvikas Bukys
la source
+1 Intéressant. Je me suis toujours demandé à qui était cette idée.
sleske
4

Je suis beaucoup plus en faveur d'un mot de passe plus long (ce qui, en réalité, signifie que dans les phrases à plusieurs mots, vous vous en souviendrez) au lieu de mélanger les mots et les chiffres. Si vous forcez les gens à ajouter des numéros, ils sont plus susceptibles de faire des choses simples comme remplacer i par 1, etc., ce qui ne vous apporte pas beaucoup de sécurité.

http://www.iusmentis.com/security/passphrasefaq/

Wilka
la source
Les mots de passe sont une nette amélioration par rapport aux mots de passe en termes de mémorisation et de complexité.
Chris Upchurch
4

Il y a des tonnes de matériel sur les politiques de mot de passe. Je recommande de jeter un œil à

Maintenant, quelque chose doit être dit sur la santé mentale des mots de passe . Le fait est que les mots de passe difficiles à mémoriser sont notés. Il en va de même pour les mots de passe qui doivent être modifiés trop souvent. En fin de compte, cela dépend de ce que vous protégez et de votre base d'utilisateurs.

Pierre-Luc Simard
la source
3

La stratégie doit refléter la raison pour laquelle les utilisateurs utilisent les ordinateurs et la sensibilité des informations que l'utilisateur y traite. S'il ne s'agit que de contenir les préférences des utilisateurs, vous n'en avez pas vraiment besoin fortement fortifié si tout le reste est en place pour repousser les attaques. Si le contraire est le cas, je préférerais que les utilisateurs agacés gémissent sur les mots de passe complexes à retenir.

J'ai environ 20 mots de passe complexes dans ma tête en tout temps, et j'ai commencé à les créer en utilisant des modèles sur le clavier pour les mémoriser. Cela facilite les choses car je n'ai besoin que de connaître le point de départ et le type de motif à créer. Tout le monde déteste changer les mots de passe, mais cette technique me permet de les changer facilement et de m'en souvenir, donc la sécurité est serrée .. pour moi au moins. Je peux même noter une lettre sur un morceau de papier tout en me rappelant le motif à faire, et je ne me souviens pas trop bien des choses. Si cela a une utilité pour quiconque cependant ... je ne sais pas.

Écrire un mot de passe complexe sans le masquer me semble tout simplement faux. Si quelqu'un essaie de s'introduire physiquement dans un ordinateur, vous pouvez être sûr qu'il recherchera un témoin.

La fée
la source
1

Je crois, lorsque je travaillais pour un établissement de santé, que certaines de nos exigences provenaient de la HIPAA. Je n'ai pas regardé les règlements SOX (que je suppose que j'adhère maintenant dans le monde de l'assurance), mais ils peuvent avoir un langage similaire comme base pour ce genre de chose.

Au-delà de cela, si vous faites partie d'une plus grande organisation informatique (subdivision dans une grande entreprise), la société peut avoir des règles qui pourraient être respectées.

L'essentiel doit être que, quelle que soit la politique mise en œuvre, elle soit bénie par la haute direction, et de préférence écrite dans une politique de sécurité ou informatique dont tout le personnel doit être informé / adhérer. Il n'a pas besoin d'être draconien (changer le mot de passe tous les 180 jours, combinaison d'alpha et de chiffres), mais cela devrait être la politique de l'entreprise afin que tout le monde soit clair sur l'exigence.

Milner
la source
0

Été quelques bonnes suggestions donc je vais juste ajouter ceci:

Tant que vous êtes en mesure de vous assurer que vous pouvez être exempté de la politique ... J'ai une bonne mémoire, donc personnellement je préfère pouvoir utiliser un mot de passe de 18 caractères qui est ridiculement complexe pendant 6 mois ou plus qu'un simple que je dois changer une fois par mois.

Gardez à l'esprit qu'un mot de passe de 16 caractères qui n'utilise que des lettres et des espaces minuscules et majuscules donne 53 ^ 16 combinaisons ou 3,876 * 10 ^ 27, tandis que les mots de passe de 10 caractères qui utilisent des lettres minuscules et majuscules, des chiffres et des symboles ne donnent que 95 ^ 10 ou 5,987 * 10 ^ 19.

te dave
la source