Wikipédia a un joli résumé sur ce sujet
Pratique de mot de passe courante Les politiques de mot de passe incluent souvent des conseils sur la bonne gestion des mots de passe tels que:
- ne jamais partager un compte d'ordinateur
- n'utilisant jamais le même mot de passe pour plus d'un compte
- ne jamais révéler de mot de passe à quiconque, y compris aux personnes qui prétendent appartenir au service client ou à la sécurité
- ne jamais écrire un mot de passe
- ne jamais communiquer un mot de passe par téléphone, e-mail ou messagerie instantanée
- en prenant soin de vous déconnecter avant de laisser un ordinateur sans surveillance
- changer les mots de passe chaque fois qu'il y a des soupçons, ils peuvent avoir été compromis
- le mot de passe du système d'exploitation et les mots de passe d'application sont différents
- le mot de passe doit être alphanumérique
- créez des mots de passe COMPLÈTEMENT aléatoires mais faciles à retenir
Suggestions de TU Delft :
Caractéristiques des mots de passe acceptables
- un mot de passe contient au moins huit caractères, et
- il contient au moins une lettre majuscule, et
- il contient au moins une lettre minuscule, et
- il contient au moins un chiffre ou un autre caractère tel que! @ # $% ^ & () {} [] <> ..., et
- ce n'est pas un terme dans une langue ou un jargon familier, et
- il n'est pas identique ou dérivé du nom du compte d'accompagnement, des caractéristiques personnelles ou des informations de sa famille / cercle social, et
- il est facile à retenir, par exemple au moyen d'une phrase clé, et
- il peut être tapé couramment.
Meilleures pratiques pour protéger les mots de passe
- éviter d'utiliser le même mot de passe pour le travail et la vie privée;
- considérer tous les mots de passe comme des informations sensibles et ne pas les partager avec les comptes des collègues, des membres de la famille ou d'autres connaissances;
- ne révèlent pas de mots de passe à des collègues, à son patron ou à d'autres connaissances, ni dans des circonstances normales ni en cas de congé ou de maladie;
- ne mentionnez aucun mot de passe en public, par téléphone ou dans une communication non cryptée;
- ne notez jamais un mot de passe dans un endroit librement accessible;
- ne donnez aucune indication sur le mnémonique utilisé pour mémoriser votre mot de passe;
- ne fournissez jamais d'informations sur un mot de passe dans des questionnaires ou des formulaires de sécurité;
- si une mauvaise utilisation est suspectée, signalez-le à l'organisation de sécurité et changez immédiatement tous les mots de passe impliqués;
- si quelqu'un veut connaître un mot de passe, référez-le à cette politique.
Pour les trucs personnels que j'utilise
la source
Vous devez choisir une fréquence «sensible» pour la fréquence à laquelle ils doivent être modifiés. Trop rapidement et les gens dégénéreront
<old_password>+<number>
(ou quelque chose de similaire), si lentement et vous augmenterez le risque de compromission du mot de passe. Il pourrait être utile de rechercher s'il existe une règle que vous pouvez définir pour vous prémunir contre cela.De même, vous devez avoir une règle qui dit qu'un mot de passe ne peut pas être réutilisé pour autant de changements (peut-être 10) afin que les gens n'échangent pas simplement entre deux (ou trois) mots de passe pour leur compte.
Rendez le mot de passe au moins alphanumérique avec au moins une majuscule. Pour le rendre un peu plus sûr, ajoutez qu'il doit également y avoir au moins un caractère non alphanumérique.
la source
Vous pourriez avoir quelque chose comme un générateur de mot de passe comme SuperGenPass . Ils pourraient donc avoir un mot de passe faible mais la chaîne générée serait extrêmement forte. Mais ce serait plus pour les connexions au site Web.
D'autres options seraient:
la source
Vendredi, j'ai dû changer mon mot de passe sur mon site client. Les règles qu'ils ont sont ridicules. Ce sont tous les standards qui doivent avoir des majuscules, des signes de ponctuation, une longueur minimale, etc.
Le problème est qu'ils sont si complexes qu'il est presque impossible d'en trouver un, d'autant plus que le message d'erreur ne vous indique pas les exigences supplémentaires qu'ils ont.
J'ai appelé le service d'assistance et ils m'ont dit, utilisez-en un comme Pa5word # (pas le vrai mot de passe) et continuez à incrémenter le nombre ....
Je trouve ces systèmes complètement fous car ils vous empêchent d'utiliser des mots de passe, par exemple "thisismypasswordforjanurary" est très facile à mémoriser et très sécurisé, mais la plupart des systèmes n'autorisent pas ces types de phrases de passe.
Je voterais donc pour une longueur minimale élevée, disons 15 à 20 caractères afin que les gens ne puissent pas simplement utiliser des mots et que les mots de passe de style l33t ne soient pas nécessaires.
Quoi que vous choisissiez, je m'assurerais que vous documentiez quelles sont les restrictions, pourquoi elles sont là et quelques exemples pour que les utilisateurs les aident à générer des restrictions.
la source
La plupart des réponses ici vont directement à suggérer des politiques. Ce qui répond à la question donc c'est bien. Mais à mon avis, vous devez vous poser d'abord cette question: quelle est l'importance des informations que vous protégez?
Par exemple, la politique de mot de passe du ministère de la Défense pour sécuriser les informations confidentielles sera très différente de la politique que vous utiliserez pour les comptes de messagerie jetables.
la source
Version courte:
La partie admin de moi dit des mots de passe de 12 à 16 caractères avec des lettres et des chiffres en minuscules et en majuscules. Devrait également avoir une partie de texte aléatoire qui ne figure dans aucun dictionnaire. Devrait être suffisant pour empêcher les attaques par force brute basées sur le réseau.
En tant qu'utilisateur, j'aime les mots de passe faciles à retenir, même s'ils peuvent être longs (16 caractères et plus). Une fois que je l'ai mémorisé, je peux le taper assez rapidement. Peut-être qu'au lieu d'appliquer uniquement une politique, vous devriez trouver des moyens intelligents d'apprendre à vos utilisateurs à choisir des mots de passe sécurisés et faciles à mémoriser, et pas seulement des morceaux aléatoires de caractères.
la source