Politique de mot de passe sensible

J'ai été chargé d'élaborer la politique de sécurité de l'entreprise. Dans le cadre de cela, je veux définir ce qu'est un mot de passe sensé mais sécurisé (longueur, caractères, etc.), à quelle fréquence ils doivent être modifiés, la durée de l'historique des mots de passe, etc.

De toute évidence, je dois trouver un équilibre entre la sécurité et l'aspect pratique.

Qu'est-ce que les gens considèrent généralement comme une bonne politique de mot de passe?

Wikipédia a un joli résumé sur ce sujet

Pratique de mot de passe courante Les politiques de mot de passe incluent souvent des conseils sur la bonne gestion des mots de passe tels que:

• ne jamais partager un compte d'ordinateur
• n'utilisant jamais le même mot de passe pour plus d'un compte
• ne jamais révéler de mot de passe à quiconque, y compris aux personnes qui prétendent appartenir au service client ou à la sécurité
• ne jamais écrire un mot de passe
• ne jamais communiquer un mot de passe par téléphone, e-mail ou messagerie instantanée
• en prenant soin de vous déconnecter avant de laisser un ordinateur sans surveillance
• changer les mots de passe chaque fois qu'il y a des soupçons, ils peuvent avoir été compromis
• le mot de passe du système d'exploitation et les mots de passe d'application sont différents
• le mot de passe doit être alphanumérique
• créez des mots de passe COMPLÈTEMENT aléatoires mais faciles à retenir

Suggestions de TU Delft :

Caractéristiques des mots de passe acceptables

• un mot de passe contient au moins huit caractères, et
• il contient au moins une lettre majuscule, et
• il contient au moins une lettre minuscule, et
• il contient au moins un chiffre ou un autre caractère tel que! @ # $% ^ & () {} [] <> ..., et
• ce n'est pas un terme dans une langue ou un jargon familier, et
• il n'est pas identique ou dérivé du nom du compte d'accompagnement, des caractéristiques personnelles ou des informations de sa famille / cercle social, et
• il est facile à retenir, par exemple au moyen d'une phrase clé, et
• il peut être tapé couramment.

Meilleures pratiques pour protéger les mots de passe

• éviter d'utiliser le même mot de passe pour le travail et la vie privée;
• considérer tous les mots de passe comme des informations sensibles et ne pas les partager avec les comptes des collègues, des membres de la famille ou d'autres connaissances;
• ne révèlent pas de mots de passe à des collègues, à son patron ou à d'autres connaissances, ni dans des circonstances normales ni en cas de congé ou de maladie;
• ne mentionnez aucun mot de passe en public, par téléphone ou dans une communication non cryptée;
• ne notez jamais un mot de passe dans un endroit librement accessible;
• ne donnez aucune indication sur le mnémonique utilisé pour mémoriser votre mot de passe;
• ne fournissez jamais d'informations sur un mot de passe dans des questionnaires ou des formulaires de sécurité;
• si une mauvaise utilisation est suspectée, signalez-le à l'organisation de sécurité et changez immédiatement tous les mots de passe impliqués;
• si quelqu'un veut connaître un mot de passe, référez-le à cette politique.

Avec la prolifération des enregistreurs de frappe et des attaques de phishing, il peut incomber à votre organisation d'envisager des alternatives aux mots de passe "forts". Voir le blog de Bruce Schneier sur le document Do Strong Web Passwords Accomplish Anything?

Je suggère fortement d'utiliser l'authentification à deux facteurs. Entre les ballons de football, SecureID et Yubikey , il est très facile et relativement peu coûteux de mettre en œuvre un deuxième facteur d'authentification.

J'aime Passwordsafe pour garder une trace des mots de passe.

Mes suggestions:

• Encouragez les phrases de passe, pas les mots. Une phrase absurde composée de 3 à 4 mots est plus facile à retenir que 8 caractères tronqués.

• Définissez une durée de vie maximale raisonnable. De 3 à 6 mois.

• Ne comptez pas sur 1337 parler pour protéger un mot de passe. Les attaquants de dictionnaires de force brute tels que Crack ont fait des changements de lettres et de chiffres depuis près de 20 ans. Mais il faut des lettres, des chiffres, des majuscules et des minuscules et de la ponctuation.

• Ne vous fiez pas aux mots non anglais pour des raisons de sécurité. Tout imbécile peut charger plusieurs dictionnaires dans un programme. Peu importe qu'il parle la langue ou non.

Pour les trucs personnels que j'utilise

• Pour les choses importantes; GMail, Web Host, Online Banking - un autre 16 bits généré aléatoirement (A-Za-z0-9) stocké dans une base de données KeePass sur DropBox crypté avec une phrase de passe complexe mais facilement mémorisable. Peut-être un peu trop zélé, mais ce n'est pas très compliqué.
• Pour les choses courantes et moins importantes - forums, comptes non liés à l'argent, etc., j'utilise un ensemble de mots de passe plus simples.

Vous devez choisir une fréquence «sensible» pour la fréquence à laquelle ils doivent être modifiés. Trop rapidement et les gens dégénéreront <old_password>+<number>(ou quelque chose de similaire), si lentement et vous augmenterez le risque de compromission du mot de passe. Il pourrait être utile de rechercher s'il existe une règle que vous pouvez définir pour vous prémunir contre cela.

De même, vous devez avoir une règle qui dit qu'un mot de passe ne peut pas être réutilisé pour autant de changements (peut-être 10) afin que les gens n'échangent pas simplement entre deux (ou trois) mots de passe pour leur compte.

Rendez le mot de passe au moins alphanumérique avec au moins une majuscule. Pour le rendre un peu plus sûr, ajoutez qu'il doit également y avoir au moins un caractère non alphanumérique.

Vous pourriez avoir quelque chose comme un générateur de mot de passe comme SuperGenPass . Ils pourraient donc avoir un mot de passe faible mais la chaîne générée serait extrêmement forte. Mais ce serait plus pour les connexions au site Web.

D'autres options seraient:

1. Utilisez 1337 parler dans les mots de passe.
2. Utilisez des phases avec ponctuation par exemple Ceci est un mot de passe très très long!
3. Rejoignez les deux [Th1s, est un v3ry v3ry l0ng p4ssw0rd!]

Vendredi, j'ai dû changer mon mot de passe sur mon site client. Les règles qu'ils ont sont ridicules. Ce sont tous les standards qui doivent avoir des majuscules, des signes de ponctuation, une longueur minimale, etc.

• Le premier caractère ne peut pas être un caractère de ponctuation.
• Pas de mots du dictionnaire.
• Le même caractère ne peut pas être utilisé deux fois.

Le problème est qu'ils sont si complexes qu'il est presque impossible d'en trouver un, d'autant plus que le message d'erreur ne vous indique pas les exigences supplémentaires qu'ils ont.

J'ai appelé le service d'assistance et ils m'ont dit, utilisez-en un comme Pa5word # (pas le vrai mot de passe) et continuez à incrémenter le nombre ....

Je trouve ces systèmes complètement fous car ils vous empêchent d'utiliser des mots de passe, par exemple "thisismypasswordforjanurary" est très facile à mémoriser et très sécurisé, mais la plupart des systèmes n'autorisent pas ces types de phrases de passe.

Je voterais donc pour une longueur minimale élevée, disons 15 à 20 caractères afin que les gens ne puissent pas simplement utiliser des mots et que les mots de passe de style l33t ne soient pas nécessaires.

Quoi que vous choisissiez, je m'assurerais que vous documentiez quelles sont les restrictions, pourquoi elles sont là et quelques exemples pour que les utilisateurs les aident à générer des restrictions.

La plupart des réponses ici vont directement à suggérer des politiques. Ce qui répond à la question donc c'est bien. Mais à mon avis, vous devez vous poser d'abord cette question: quelle est l'importance des informations que vous protégez?

Par exemple, la politique de mot de passe du ministère de la Défense pour sécuriser les informations confidentielles sera très différente de la politique que vous utiliserez pour les comptes de messagerie jetables.

Version courte:

La partie admin de moi dit des mots de passe de 12 à 16 caractères avec des lettres et des chiffres en minuscules et en majuscules. Devrait également avoir une partie de texte aléatoire qui ne figure dans aucun dictionnaire. Devrait être suffisant pour empêcher les attaques par force brute basées sur le réseau.

En tant qu'utilisateur, j'aime les mots de passe faciles à retenir, même s'ils peuvent être longs (16 caractères et plus). Une fois que je l'ai mémorisé, je peux le taper assez rapidement. Peut-être qu'au lieu d'appliquer uniquement une politique, vous devriez trouver des moyens intelligents d'apprendre à vos utilisateurs à choisir des mots de passe sécurisés et faciles à mémoriser, et pas seulement des morceaux aléatoires de caractères.