Vernünftige Kennwortrichtlinien

Wikipedia hat eine schöne Zusammenfassung zu diesem Thema

Übliche Kennwortpraxis Kennwortrichtlinien enthalten häufig Hinweise zur ordnungsgemäßen Kennwortverwaltung, z.

• Teilen Sie niemals ein Computerkonto
• Verwenden Sie niemals dasselbe Kennwort für mehr als ein Konto
• Geben Sie niemals ein Kennwort an Dritte weiter, einschließlich Personen, die behaupten, vom Kundendienst oder von der Sicherheit zu stammen
• Schreibe niemals ein Passwort auf
• Geben Sie niemals ein Kennwort per Telefon, E-Mail oder Instant Messaging bekannt
• Sie müssen sich abmelden, bevor Sie einen Computer unbeaufsichtigt lassen
• Passwort ändern, wenn der Verdacht besteht, dass sie möglicherweise kompromittiert wurden
• Betriebssystemkennwort und Anwendungskennwörter unterscheiden sich
• Passwort sollte alphanumerisch sein
• Erstellen Sie Passwörter VOLLSTÄNDIG zufällig, aber leicht zu merken

Vorschläge der TU Delft :

Merkmale akzeptabler Passwörter

• Ein Passwort besteht aus mindestens acht Zeichen und
• es enthält mindestens einen Großbuchstaben und
• es enthält mindestens einen Kleinbuchstaben und
• Es enthält mindestens eine Ziffer oder ein anderes Zeichen wie! @ # $% ^ & () {} [] <> ... und
• es ist kein Begriff in einer vertrauten Sprache oder Fachsprache, und
• es ist nicht identisch mit dem begleitenden Kontonamen, aus persönlichen Merkmalen oder aus Informationen aus seiner Familie / seinem sozialen Umfeld und leitet sich nicht davon ab
• es ist leicht zu merken, zum Beispiel mittels eines Schlüsselsatzes und
• es kann fließend eingegeben werden.

Best Practices zum Schutz von Passwörtern

• vermeiden Sie die Verwendung desselben Passworts für Beruf und Privatleben;
• alle Passwörter als vertrauliche Informationen betrachten und nicht mit den Konten von Kollegen, Familienmitgliedern oder anderen Bekannten teilen;
• Kennwörter nicht an Kollegen, Chef oder andere Bekannte weitergeben, weder unter normalen Umständen noch im Fall von Urlaub oder Krankheit.
• Geben Sie kein Kennwort in der Öffentlichkeit, per Telefon oder in unverschlüsselter Kommunikation an.
• Notieren Sie sich niemals ein Passwort an einem frei zugänglichen Ort.
• geben Sie keine Hinweise auf die Mnemonik, mit der Sie sich an Ihr Passwort erinnern;
• Geben Sie niemals Informationen zu einem Kennwort in Fragebögen oder Sicherheitsformularen an.
• Wenn Missbrauch vermutet wird, melden Sie dies der Sicherheitsorganisation und ändern Sie sofort alle beteiligten Kennwörter.
• Wenn jemand ein Passwort erfahren möchte, verweisen Sie ihn auf diese Richtlinie.

Bei der Verbreitung von Keyloggern und Phishing-Angriffen kann es in Ihrem Unternehmen vorkommen, Alternativen zu "starken" Kennwörtern in Betracht zu ziehen. Siehe Bruce Schneier Blog über das Papier Sie Passwörter Starke Web etwas erreichen?

Ich würde dringend empfehlen, die Zwei-Faktor-Authentifizierung zu verwenden. Zwischen Fußbällen, SecureID und Yubikey ist es sehr einfach und relativ kostengünstig, einen zweiten Faktor der Authentifizierung zu implementieren.

Ich mag Passwordsafe für das Verfolgen von Passwörtern.

Meine Vorschläge:

• Ermutigen Sie Passwörter, keine Wörter. Eine unsinnige Phrase aus 3-4 Wörtern ist leichter zu merken als 8 unleserliche Zeichen.

• Legen Sie eine angemessene maximale Lebensdauer fest. Von 3 bis 6 monaten.

• Verlassen Sie sich nicht auf 1337 Speak, um ein Passwort zu schützen. Brute-Force-Wörterbuch-Angreifer wie Crack haben fast 20 Jahre lang Buchstaben-> Nummernänderungen vorgenommen. Aber benötigen Sie Buchstaben, Zahlen, Groß- und Kleinbuchstaben und Satzzeichen.

• Verlassen Sie sich nicht auf nicht-englische Wörter. Jeder Dummkopf kann mehrere Wörterbücher in ein Programm laden. Egal ob er die Sprache spricht oder nicht.

Für persönliche Sachen benutze ich

• Für wichtige Dinge; GMail, Webhost, Online Banking - ein anderes 16-Bit-Zufallsgenerator (A-Za-z0-9), der in einer KeePass -Datenbank auf DropBox gespeichert ist und mit einer komplexen, aber leicht zu merkenden Passphrase verschlüsselt ist. Vielleicht etwas übereifrig, aber es ist nicht besonders umständlich.
• Für allgemeine, weniger wichtige Dinge - Foren, Konten ohne Geld usw. - benutze ich einfachere Passwörter.

Sie müssen eine "sinnvolle" Frequenz für die Häufigkeit auswählen, zu der sie geändert werden sollen. Zu schnell werden die Menschen <old_password>+<number>so langsam (oder etwas Ähnliches) degenerieren und erhöhen so das Risiko, dass das Passwort gefährdet wird. Es lohnt sich vielleicht zu untersuchen, ob es eine Regel gibt, die Sie einrichten können, um sich dagegen zu schützen.

Ebenso müssen Sie über eine Regel verfügen, die besagt, dass ein Kennwort nicht für so viele Änderungen (möglicherweise 10) verwendet werden kann, dass die Benutzer nicht einfach zwischen zwei (oder drei) Kennwörtern für ihr Konto wechseln.

Machen Sie das Passwort mindestens alphanumerisch mit mindestens einem Großbuchstaben. Um es etwas sicherer zu machen, fügen Sie hinzu, dass mindestens ein nicht alphanumerisches Zeichen vorhanden sein muss.

Sie könnten so etwas wie einen Passwortgenerator wie SuperGenPass haben . Sie könnten also ein schwaches Passwort haben, aber die generierte Zeichenfolge wäre extrem stark. Das wäre aber mehr für das Einloggen in eine Website.

Andere Optionen wären:

1. Verwenden Sie 1337, um in Kennwörtern zu sprechen.
2. Verwenden Sie Phasen mit Interpunktion, zB Dies ist ein sehr langes Passwort!
3. Join the two [Th1s, ist ein v3ry v3ry l0ng p4ssw0rd!]

Kurze Version:

Der Admin-Teil von mir enthält 12-16-Zeichen-Passwörter mit Groß- und Kleinbuchstaben sowie Zahlen. Außerdem sollte ein zufälliger Textteil vorhanden sein, der nicht in einem Wörterbuch enthalten ist. Sollte ausreichen, um netzbasierte Brute-Force-Angriffe zu verhindern.

Als Benutzer mag ich Kennwörter, die leicht zu merken sind, auch wenn sie möglicherweise lang sind (16 Zeichen und mehr). Wenn ich es einmal auswendig gelernt habe, kann ich es schnell genug eingeben. Statt nur eine Richtlinie durchzusetzen, sollten Sie Ihren Benutzern auf clevere Art und Weise beibringen, sichere und leicht zu merkende Kennwörter zu wählen, nicht nur eine zufällige Auswahl von Zeichen.

Am Freitag musste ich mein Passwort bei meinem Kunden ändern. Die Regeln, die sie haben, sind lächerlich. Sie sind alle Standard-Standards, die über Großbuchstaben, Interpunktion, Mindestlänge usw. verfügen müssen.

• Das erste Zeichen darf kein Interpunktionszeichen sein.
• Keine Wörterbuchwörter.
• Das gleiche Zeichen kann nicht zweimal verwendet werden.

Das Problem ist, dass sie so komplex sind, dass es fast unmöglich ist, einen zu finden, zumal die Fehlermeldung Ihnen nicht die zusätzlichen Anforderungen angibt, die sie haben.

Ich rief den Helpdesk an und sie sagten, verwenden Sie einfach eines wie dieses Pa5word # (nicht das eigentliche Passwort) und erhöhen Sie dann die Nummer weiter ....

Ich finde diese Systeme völlig verrückt, da sie Sie daran hindern, Passphrasen zu verwenden, zum Beispiel "thisismypasswordforjanurary" ist sehr leicht zu merken und sehr sicher, aber die meisten Systeme lassen solche Passphrasen nicht zu.

Ich würde also für eine hohe Mindestlänge stimmen, sagen wir 15-20 Zeichen, so dass die Leute nicht einfach Wörter verwenden können, und Passwörter im l33t-Stil sind nicht erforderlich.

Was auch immer Sie wählen, ich würde sicherstellen, dass Sie dokumentieren, was die Einschränkungen sind und warum sie vorhanden sind, sowie einige Beispiele für Benutzer, die ihnen helfen sollen, sichere zu generieren.

Die meisten Befragten hier schlagen sofort Richtlinien vor. Was beantwortet die Frage so ist das gut. Aber meiner Meinung nach müssen Sie sich zuerst diese Frage stellen: Wie wichtig sind die Informationen, die Sie schützen?

Die Passwortrichtlinie für das Verteidigungsministerium zum Schutz vertraulicher Informationen unterscheidet sich zum Beispiel deutlich von der Richtlinie, die Sie für wegwerfende E-Mail-Konten verwenden.