Kebijakan Kata Sandi yang masuk akal

Saya telah ditugaskan untuk menyusun kebijakan keamanan perusahaan. Sebagai bagian dari ini saya ingin mendefinisikan apa itu kata sandi yang masuk akal tetapi aman (panjang, karakter dll), seberapa sering mereka harus diubah, panjang sejarah kata sandi dan sebagainya.

Jelas saya perlu menyeimbangkan keamanan dengan kepraktisan.

Apa yang umumnya orang anggap sebagai kebijakan kata sandi yang baik?

Wikipedia memiliki ringkasan yang bagus tentang topik ini

Praktik kata sandi yang umum Kebijakan kata sandi sering kali memasukkan saran tentang manajemen kata sandi yang tepat seperti:

• jangan pernah berbagi akun komputer
• tidak pernah menggunakan kata sandi yang sama untuk lebih dari satu akun
• tidak pernah memberitahukan kata sandi kepada siapa pun, termasuk orang yang mengaku berasal dari layanan pelanggan atau keamanan
• jangan pernah menuliskan kata sandi
• jangan pernah mengomunikasikan kata sandi melalui telepon, email atau pesan instan
• berhati-hati untuk logout sebelum meninggalkan komputer tanpa pengawasan
• mengubah kata sandi setiap kali ada kecurigaan mereka mungkin dikompromikan
• kata sandi sistem operasi dan kata sandi aplikasi berbeda
• kata sandi harus alfa-numerik
• membuat kata sandi SEPENUHNYA acak tetapi mudah untuk Anda ingat

Saran dari TU Delft :

Karakteristik kata sandi yang dapat diterima

• kata sandi berisi setidaknya delapan karakter, dan
• itu mengandung setidaknya satu huruf besar, dan
• itu mengandung setidaknya satu huruf kecil, dan
• itu mengandung setidaknya satu digit atau karakter lain seperti! @ # $% ^ & () {} [] <> ..., dan
• ini bukan istilah dalam bahasa atau jargon yang akrab, dan
• itu tidak identik atau berasal dari nama akun yang menyertainya, dari karakteristik pribadi atau dari informasi dari keluarga / lingkaran sosial seseorang, dan
• mudah diingat, misalnya dengan kalimat kunci, dan
• itu bisa diketik dengan lancar.

Praktik terbaik untuk melindungi kata sandi

• hindari penggunaan kata sandi yang sama untuk pekerjaan dan kehidupan pribadi;
• menganggap semua kata sandi sebagai informasi sensitif, dan tidak membaginya dengan akun kolega, anggota keluarga atau kenalan lainnya;
• jangan mengungkapkan kata sandi kepada kolega, bos seseorang atau kenalan lainnya, baik dalam keadaan normal atau dalam hal cuti atau sakit;
• tidak menyebutkan kata sandi apa pun di depan umum, melalui telepon atau komunikasi yang tidak terenkripsi;
• jangan pernah menuliskan kata sandi di lokasi yang dapat diakses secara bebas;
• jangan memberikan petunjuk tentang mnemonik yang digunakan untuk mengingat kata sandi Anda;
• jangan pernah memberikan informasi tentang kata sandi dalam kuesioner atau formulir keamanan;
• jika diduga ada penyalahgunaan, maka laporkan ini ke organisasi keamanan dan segera ubah semua kata sandi yang terlibat;
• jika seseorang ingin mengetahui kata sandi, maka rujuk dia ke kebijakan ini.

Dengan proliferasi keylogger dan serangan phishing, mungkin organisasi Anda perlu mempertimbangkan alternatif kata sandi "kuat". Lihat blog Bruce Schneier tentang makalah. Apakah Kata Sandi Web Yang Kuat Menyelesaikan Apa Pun?

Saya akan sangat menyarankan menggunakan otentikasi dua faktor. Antara footballs, SecureID, dan Yubikey , sangat mudah dan relatif murah untuk menerapkan faktor otentikasi kedua.

Saya suka Kata Sandi untuk melacak kata sandi.

Saran saya:

• Dorong frasa lulus, bukan kata-kata. Ungkapan omong kosong yang terdiri dari 3-4 kata lebih mudah diingat daripada 8 karakter yang kacau.

• Tetapkan masa hidup maksimum yang wajar. Dari 3 hingga 6 bulan.

• Jangan mengandalkan 1337 berbicara untuk melindungi kata sandi. Penyerang kamus brute force seperti Crack telah melakukan perubahan nomor> surat selama hampir 20 tahun. Tetapi memang membutuhkan huruf, angka, huruf besar dan kecil dan tanda baca.

• Jangan mengandalkan kata-kata non-Inggris untuk keamanan. Orang bodoh mana saja dapat memuat banyak kamus ke dalam suatu program. Tidak masalah jika dia berbicara bahasa atau tidak.

Untuk barang pribadi saya gunakan

• Untuk hal-hal penting; GMail, Host Web, Perbankan Online - 16-bit berbeda yang dihasilkan secara acak (A-Za-z0-9) disimpan dalam KeePass DB di DropBox yang dienkripsi dengan frasa sandi yang rumit namun mudah diingat. Mungkin sedikit terlalu bersemangat tapi tidak terlalu merepotkan.
• Untuk hal-hal umum, yang kurang penting - forum, akun non-uang, dll., Saya menggunakan satu set kata sandi yang lebih sederhana.

Anda perlu memilih frekuensi "masuk akal" untuk seberapa sering mereka harus diubah. Terlalu cepat dan orang-orang akan berubah menjadi <old_password>+<number>(atau yang serupa), begitu lambat dan Anda meningkatkan risiko kata sandi dikompromikan. Mungkin perlu diselidiki apakah ada aturan yang bisa Anda buat untuk mencegah hal ini.

Anda juga harus memiliki aturan yang mengatakan kata sandi tidak dapat digunakan kembali untuk begitu banyak perubahan (mungkin 10) sehingga orang tidak hanya bertukar antara dua (atau tiga) kata sandi untuk akun mereka.

Buat kata sandi setidaknya alfanumerik dengan setidaknya satu modal. Untuk membuatnya sedikit lebih aman, tambahkan bahwa harus ada setidaknya satu karakter non alfanumerik juga.

Anda dapat memiliki sesuatu seperti pembuat kata sandi seperti SuperGenPass . Jadi mereka bisa memiliki kata sandi yang lemah tetapi string yang dihasilkan akan sangat kuat. Tapi itu akan lebih untuk login situs web.

Pilihan lain adalah:

1. Gunakan 1337 kata sandi.
2. Gunakan fase dengan tanda baca, mis. Ini, kata sandi yang sangat panjang!
3. Bergabung dengan dua [Th1s, adalah v3ry v3ry l0ng p4ssw0rd!]

Pada hari Jumat saya harus mengubah kata sandi di situs klien saya. Aturan yang mereka miliki konyol. Mereka semua yang standar harus memiliki huruf besar, tanda baca, panjang minimum, dll.

• Karakter pertama tidak boleh karakter tanda baca.
• Tidak ada kata kamus.
• Karakter yang sama tidak dapat digunakan dua kali.

Masalahnya adalah mereka sangat kompleks sehingga hampir tidak mungkin menemukannya, terutama karena pesan kesalahan tidak memberi tahu Anda persyaratan tambahan yang mereka miliki.

Saya menelepon help desk dan mereka berkata, gunakan saja seperti ini Pa5word # (bukan kata sandi asli) dan kemudian terus tambahkan nomornya ....

Saya menemukan sistem ini benar-benar gila karena mereka menghentikan Anda dari menggunakan frasa sandi misalnya "thisismypasswordforjanurary" sangat mudah diingat dan sangat aman, tetapi sebagian besar sistem tidak akan mengizinkan jenis-jenis frasa sandi tersebut.

Jadi saya akan memilih panjang minimum yang tinggi, katakanlah 15-20 karakter sehingga orang tidak bisa hanya menggunakan kata-kata dan kata sandi gaya l33t tidak diperlukan.

Apa pun yang Anda pilih, saya akan memastikan Anda mendokumentasikan apa batasannya, dan mengapa ada dan beberapa contoh bagi pengguna untuk membantu mereka menghasilkan batasan yang aman.

Sebagian besar responden di sini langsung menyarankan kebijakan. Yang menjawab pertanyaan jadi itu bagus. Tetapi menurut saya, Anda perlu bertanya pada diri sendiri terlebih dahulu: seberapa penting informasi yang Anda lindungi?

Misalnya, kebijakan kata sandi untuk departemen pertahanan untuk mengamankan informasi rahasia mungkin akan sangat berbeda dari kebijakan yang akan Anda gunakan untuk akun email sekali pakai.

Versi pendek:

Bagian admin saya mengatakan kata sandi 12-16 karakter dengan huruf dan angka huruf besar dan kecil. Juga harus memiliki bagian teks acak yang tidak ada dalam kamus. Harus memadai untuk mencegah serangan brute-force berbasis jaringan.

Sebagai pengguna, saya suka kata sandi yang mudah diingat, meskipun mungkin panjang (16 karakter ke atas). Setelah saya menghafalnya, saya bisa mengetiknya dengan cukup cepat. Mungkin alih-alih hanya menegakkan kebijakan, Anda harus menemukan cara pintar untuk mengajari pengguna Anda memilih kata sandi yang aman dan mudah diingat, bukan hanya karakter acak.