Vernünftige Kennwortrichtlinien

1973
Jon Hopkins

Ich wurde beauftragt, die Sicherheitsrichtlinien des Unternehmens zusammenzustellen. Als Teil davon möchte ich definieren, was ein vernünftiges, aber sicheres Passwort (Länge, Zeichen usw.) ist, wie oft es geändert werden soll, wie lange es ist, wie lange es dauert und wie es weitergeht.

Natürlich muss ich die Sicherheit gegen die Praktikabilität ausgleichen.

Was ist im Allgemeinen eine gute Passwortrichtlinie?

8

9 Antworten auf die Frage

4
Ivo Flipse

Wikipedia hat eine schöne Zusammenfassung zu diesem Thema

Übliche Kennwortpraxis Kennwortrichtlinien enthalten häufig Hinweise zur ordnungsgemäßen Kennwortverwaltung, z.

  • Teilen Sie niemals ein Computerkonto
  • Verwenden Sie niemals dasselbe Kennwort für mehr als ein Konto
  • Geben Sie niemals ein Kennwort an Dritte weiter, einschließlich Personen, die behaupten, vom Kundendienst oder von der Sicherheit zu stammen
  • Schreibe niemals ein Passwort auf
  • Geben Sie niemals ein Kennwort per Telefon, E-Mail oder Instant Messaging bekannt
  • Sie müssen sich abmelden, bevor Sie einen Computer unbeaufsichtigt lassen
  • Passwort ändern, wenn der Verdacht besteht, dass sie möglicherweise kompromittiert wurden
  • Betriebssystemkennwort und Anwendungskennwörter unterscheiden sich
  • Passwort sollte alphanumerisch sein
  • Erstellen Sie Passwörter VOLLSTÄNDIG zufällig, aber leicht zu merken

Vorschläge der TU Delft :

Merkmale akzeptabler Passwörter

  • Ein Passwort besteht aus mindestens acht Zeichen und
  • es enthält mindestens einen Großbuchstaben und
  • es enthält mindestens einen Kleinbuchstaben und
  • Es enthält mindestens eine Ziffer oder ein anderes Zeichen wie! @ # $% ^ & () {} [] <> ... und
  • es ist kein Begriff in einer vertrauten Sprache oder Fachsprache, und
  • es ist nicht identisch mit dem begleitenden Kontonamen, aus persönlichen Merkmalen oder aus Informationen aus seiner Familie / seinem sozialen Umfeld und leitet sich nicht davon ab
  • es ist leicht zu merken, zum Beispiel mittels eines Schlüsselsatzes und
  • es kann fließend eingegeben werden.

Best Practices zum Schutz von Passwörtern

  • vermeiden Sie die Verwendung desselben Passworts für Beruf und Privatleben;
  • alle Passwörter als vertrauliche Informationen betrachten und nicht mit den Konten von Kollegen, Familienmitgliedern oder anderen Bekannten teilen;
  • Kennwörter nicht an Kollegen, Chef oder andere Bekannte weitergeben, weder unter normalen Umständen noch im Fall von Urlaub oder Krankheit.
  • Geben Sie kein Kennwort in der Öffentlichkeit, per Telefon oder in unverschlüsselter Kommunikation an.
  • Notieren Sie sich niemals ein Passwort an einem frei zugänglichen Ort.
  • geben Sie keine Hinweise auf die Mnemonik, mit der Sie sich an Ihr Passwort erinnern;
  • Geben Sie niemals Informationen zu einem Kennwort in Fragebögen oder Sicherheitsformularen an.
  • Wenn Missbrauch vermutet wird, melden Sie dies der Sicherheitsorganisation und ändern Sie sofort alle beteiligten Kennwörter.
  • Wenn jemand ein Passwort erfahren möchte, verweisen Sie ihn auf diese Richtlinie.
3
pcapademic

Bei der Verbreitung von Keyloggern und Phishing-Angriffen kann es in Ihrem Unternehmen vorkommen, Alternativen zu "starken" Kennwörtern in Betracht zu ziehen. Siehe Bruce Schneier Blog über das Papier Sie Passwörter Starke Web etwas erreichen?

Ich würde dringend empfehlen, die Zwei-Faktor-Authentifizierung zu verwenden. Zwischen Fußbällen, SecureID und Yubikey ist es sehr einfach und relativ kostengünstig, einen zweiten Faktor der Authentifizierung zu implementieren.

2
pgs

Ich mag Passwordsafe für das Verfolgen von Passwörtern.

Meine Vorschläge:

  • Ermutigen Sie Passwörter, keine Wörter. Eine unsinnige Phrase aus 3-4 Wörtern ist leichter zu merken als 8 unleserliche Zeichen.

  • Legen Sie eine angemessene maximale Lebensdauer fest. Von 3 bis 6 monaten.

  • Verlassen Sie sich nicht auf 1337 Speak, um ein Passwort zu schützen. Brute-Force-Wörterbuch-Angreifer wie Crack haben fast 20 Jahre lang Buchstaben-> Nummernänderungen vorgenommen. Aber benötigen Sie Buchstaben, Zahlen, Groß- und Kleinbuchstaben und Satzzeichen.

  • Verlassen Sie sich nicht auf nicht-englische Wörter. Jeder Dummkopf kann mehrere Wörterbücher in ein Programm laden. Egal ob er die Sprache spricht oder nicht.

+1 für Passwortschutz Ich kenne die meisten meiner Passwörter eigentlich nicht, und sie sind alle verschieden, sogar alle zufälligen Webshops. RBerteig vor 15 Jahren 0
Good reminder that simple number/letter substitution is not a good defence. I assume dictionary cracks are entirely comfortable with people simply appending numbers too? Jon Hopkins vor 15 Jahren 0
@Tyrannosaurs: If it can be automated you can bet someone's tried it. Dictionary attacks are slow, but easily parallelised. Imagine a bot-net attacking passwords. pgs vor 15 Jahren 0
Ich denke, eine gute Frage ist hier: Sollten Passwort-Manager Teil der Sicherheitsrichtlinien eines Unternehmens sein? Sollen reguläre Benutzer (außer denjenigen der IT-Abteilung) möglicherweise Kennwortmanager auf ihren Arbeitsstationen haben? Isxek vor 15 Jahren 0
Ich persönlich habe kein Problem damit. Ich kann Kennwörter auf jedem Computer, den ich administriere, zurücksetzen, und andere Computer sind nicht mein Problem. Natürlich sind einmalige Anmeldungen und ordnungsgemäß verwaltete Berechtigungen besser als mehrere Kennwörter und ein Kennwortmanager. pgs vor 15 Jahren 0
Mit "außer wahrscheinlich den von IT" meine ich, dass sie erlaubt sein sollten :) Isxek vor 15 Jahren 0
2
Tom

Für persönliche Sachen benutze ich

  • Für wichtige Dinge; GMail, Webhost, Online Banking - ein anderes 16-Bit-Zufallsgenerator (A-Za-z0-9), der in einer KeePass -Datenbank auf DropBox gespeichert ist und mit einer komplexen, aber leicht zu merkenden Passphrase verschlüsselt ist. Vielleicht etwas übereifrig, aber es ist nicht besonders umständlich.
  • Für allgemeine, weniger wichtige Dinge - Foren, Konten ohne Geld usw. - benutze ich einfachere Passwörter.
1
ChrisF

Sie müssen eine "sinnvolle" Frequenz für die Häufigkeit auswählen, zu der sie geändert werden sollen. Zu schnell werden die Menschen <old_password>+<number>so langsam (oder etwas Ähnliches) degenerieren und erhöhen so das Risiko, dass das Passwort gefährdet wird. Es lohnt sich vielleicht zu untersuchen, ob es eine Regel gibt, die Sie einrichten können, um sich dagegen zu schützen.

Ebenso müssen Sie über eine Regel verfügen, die besagt, dass ein Kennwort nicht für so viele Änderungen (möglicherweise 10) verwendet werden kann, dass die Benutzer nicht einfach zwischen zwei (oder drei) Kennwörtern für ihr Konto wechseln.

Machen Sie das Passwort mindestens alphanumerisch mit mindestens einem Großbuchstaben. Um es etwas sicherer zu machen, fügen Sie hinzu, dass mindestens ein nicht alphanumerisches Zeichen vorhanden sein muss.

1
Stephen

Sie könnten so etwas wie einen Passwortgenerator wie SuperGenPass haben . Sie könnten also ein schwaches Passwort haben, aber die generierte Zeichenfolge wäre extrem stark. Das wäre aber mehr für das Einloggen in eine Website.

Andere Optionen wären:

  1. Verwenden Sie 1337, um in Kennwörtern zu sprechen.
  2. Verwenden Sie Phasen mit Interpunktion, zB Dies ist ein sehr langes Passwort!
  3. Join the two [Th1s, ist ein v3ry v3ry l0ng p4ssw0rd!]

SuperGenPass ist nicht so, dass Sie ein schwaches Master-Passwort haben können, nur um sich ein starkes Passwort zu merken. Dies ist eine wichtige Unterscheidung. itsadok vor 15 Jahren 0
Es besteht kein Grund zu der Annahme, dass der Austausch von Zahlen gegen Vokale jeglichen Schutz bietet. Chris Burgess vor 12 Jahren 0
1
Saulius Žemaitaitis

Kurze Version:

Der Admin-Teil von mir enthält 12-16-Zeichen-Passwörter mit Groß- und Kleinbuchstaben sowie Zahlen. Außerdem sollte ein zufälliger Textteil vorhanden sein, der nicht in einem Wörterbuch enthalten ist. Sollte ausreichen, um netzbasierte Brute-Force-Angriffe zu verhindern.

Als Benutzer mag ich Kennwörter, die leicht zu merken sind, auch wenn sie möglicherweise lang sind (16 Zeichen und mehr). Wenn ich es einmal auswendig gelernt habe, kann ich es schnell genug eingeben. Statt nur eine Richtlinie durchzusetzen, sollten Sie Ihren Benutzern auf clevere Art und Weise beibringen, sichere und leicht zu merkende Kennwörter zu wählen, nicht nur eine zufällige Auswahl von Zeichen.

1
Bruce McLeod

Am Freitag musste ich mein Passwort bei meinem Kunden ändern. Die Regeln, die sie haben, sind lächerlich. Sie sind alle Standard-Standards, die über Großbuchstaben, Interpunktion, Mindestlänge usw. verfügen müssen.

  • Das erste Zeichen darf kein Interpunktionszeichen sein.
  • Keine Wörterbuchwörter.
  • Das gleiche Zeichen kann nicht zweimal verwendet werden.

Das Problem ist, dass sie so komplex sind, dass es fast unmöglich ist, einen zu finden, zumal die Fehlermeldung Ihnen nicht die zusätzlichen Anforderungen angibt, die sie haben.

Ich rief den Helpdesk an und sie sagten, verwenden Sie einfach eines wie dieses Pa5word # (nicht das eigentliche Passwort) und erhöhen Sie dann die Nummer weiter ....

Ich finde diese Systeme völlig verrückt, da sie Sie daran hindern, Passphrasen zu verwenden, zum Beispiel "thisismypasswordforjanurary" ist sehr leicht zu merken und sehr sicher, aber die meisten Systeme lassen solche Passphrasen nicht zu.

Ich würde also für eine hohe Mindestlänge stimmen, sagen wir 15-20 Zeichen, so dass die Leute nicht einfach Wörter verwenden können, und Passwörter im l33t-Stil sind nicht erforderlich.

Was auch immer Sie wählen, ich würde sicherstellen, dass Sie dokumentieren, was die Einschränkungen sind und warum sie vorhanden sind, sowie einige Beispiele für Benutzer, die ihnen helfen sollen, sichere zu generieren.

Dies ist eine übliche Version für militärische Systeme. Sie müssen das Kennwort jeden Monat ändern und können die letzten 12 Kennwörter nicht wiederverwenden. Es führt dazu, dass die Benutzer einfach eine Nummer oder das Datum am Ende einfacher Kennwörter eingeben Martin Beckett vor 15 Jahren 0
1
Mark van Lent

Die meisten Befragten hier schlagen sofort Richtlinien vor. Was beantwortet die Frage so ist das gut. Aber meiner Meinung nach müssen Sie sich zuerst diese Frage stellen: Wie wichtig sind die Informationen, die Sie schützen?

Die Passwortrichtlinie für das Verteidigungsministerium zum Schutz vertraulicher Informationen unterscheidet sich zum Beispiel deutlich von der Richtlinie, die Sie für wegwerfende E-Mail-Konten verwenden.