उपयोगकर्ता पासवर्ड उम्र / जटिलता नीति

क्या किसी को मेरे उपयोगकर्ताओं के लिए एक उचित पासवर्ड नीति निर्धारित करने के लिए कोई संसाधन मिला है? मेरा व्यक्तिगत झुकाव पासवर्ड की जटिलता को शांत करना है और उन्हें एक तरह के समझौते के रूप में उन्हें कम बार बदलने की अनुमति देता है। ऐसा लगता है कि मेरे औसत उपयोगकर्ता में कुछ संख्याओं और विशेष वर्णों के मिश्रण के लिए उच्च सहिष्णुता है, जो उनके पास 5 या 10 साल पहले थी।

मैं अंगूठे और / या संसाधनों के नियमों की तलाश कर रहा हूं जिनका उपयोग मैं अपने प्रस्तावित नीतिगत परिवर्तनों का समर्थन करने के लिए कर सकता हूं। या यहां तक ​​कि अधिक अनुभव वाले लोगों की जानकारी भी।

(मैं एक सुरक्षा गुरु से बहुत दूर हूं, इसलिए यदि इससे निपटने के लिए केवल अस्पष्ट है, तो आइए प्रश्न को केवल आंतरिक विंडोज नेटवर्किंग पासवर्ड पर लागू करने के लिए संकीर्ण करें, हालांकि मुझे इसमें दिलचस्पी होगी कि लोग वीपीएन और वेब के संदर्भ में क्या कर रहे हैं? सेवा नीति)

आज के रैंडम ब्रूट-फोर्स पासवर्ड हमलों की दुनिया में, मैं इस कथन से सहमत हूं कि नीचे लिखा गया एक अच्छा पासवर्ड एक यादगार पासवर्ड से बेहतर है जो अनुमान लगाने में आसान है

यहां पासवर्ड की ताकत की अच्छी तुलना की गई है:

http://www.lockdown.co.uk/?pg=combi

आप इस पर विचार करके सही काम कर रहे हैं कि आपके उपयोगकर्ता किसके साथ काम करने को तैयार हैं। यदि आप अत्यधिक जटिल पासवर्डों को बाध्य करते हैं, जिन्हें बार-बार बदलना होगा, तो आप पाएंगे कि आपकी पोस्ट-इट नोट खपत आसमान छू जाएगी।

Purdue's CERIAS में जीन स्पैफर्ड के इस विषय में एक समझदार योगदान है । यहाँ एक आंशिक उद्धरण है:

तो "पासवर्ड महीने में एक बार बदलते हैं" कहाँ से आया है? उन दिनों में जब लोग नेटवर्किंग के बिना मेनफ्रेम का उपयोग कर रहे थे, सबसे बड़ी अनियंत्रित प्रमाणीकरण चिंता टूट रही थी। हालाँकि, संसाधन सीमित थे। जैसा कि मुझे सबसे अच्छा लगता है, कुछ DoD ठेकेदारों ने अपने मेनफ्रेम का उपयोग करके सभी संभावित पासवर्ड के माध्यम से चलने में कितना समय लगेगा, इसके बारे में कुछ बैक-ऑफ-इन-लिफाफा गणना की, और परिणाम कई महीनों का था। इसलिए, उन्होंने (कुछ हद तक) व्यवस्थित रूप से क्रैकिंग प्रयासों को हराने के लिए 1 महीने की पासवर्ड परिवर्तन अवधि निर्धारित की। यह तब नीति में निहित था, जो प्रकाशित हो गया, और बड़े पैमाने पर दूसरों द्वारा स्वीकार किया गया। जैसे-जैसे समय बीतता गया, ऑडिटरों ने इसकी तलाश शुरू की और इसे अपने "सर्वोत्तम अभ्यास" में शामिल किया, जिसकी उन्हें उम्मीद थी।

यह तथ्य यह है कि किसी भी उचित विश्लेषण से पता चलता है कि मासिक पासवर्ड परिवर्तन का सुरक्षा में सुधार पर बहुत कम या कोई प्रभाव नहीं पड़ता है!
यह एक "सर्वोत्तम अभ्यास" है जो एक DoD वातावरण में गैर-नेटवर्क वाले मेनफ्रेम के साथ 30 साल पहले के अनुभव पर आधारित है - आज की प्रणालियों के लिए शायद ही कोई मैच हो, विशेष रूप से शिक्षाविदों में!

मैं शब्दों और संख्याओं में मिश्रण करने के बजाय लंबे पासवर्ड (जो, वास्तविक रूप से, आप उन्हें याद करने जा रहे हैं) के रूप में अधिक पासवर्ड के पक्ष में हूं। यदि आप लोगों को संख्या जोड़ने के लिए मजबूर करते हैं, तो वे साधारण चीजों जैसे कि i के साथ 1 इत्यादि को करने की अधिक संभावना रखते हैं, जो आपको बहुत अधिक सुरक्षा नहीं देता है।

http://www.iusmentis.com/security/passphrasefaq/

पासवर्ड नीतियों पर सामग्री पर टन हैं। मैं एक बार देखने की सलाह देता हूं

• पासवर्ड नीति पर विकिपीडिया लेख
• SANS पासवर्ड नीति दस्तावेज़।
• NIST sp800-118 ड्राफ्ट टाइटल गाइड टू एंटरप्राइज पासवर्ड मैनेजमेंट

अब, पासवर्ड पवित्रता के बारे में कुछ कहा जाना चाहिए । तथ्य यह है कि पासवर्ड जो याद रखना कठिन है, नीचे लिखे गए हैं। पासवर्ड के लिए वही जाता है जिसे अक्सर बदला जाना चाहिए। निचला रेखा, यह इस बात पर निर्भर करता है कि आप क्या सुरक्षा कर रहे हैं और आपका उपयोगकर्ताबेस।

नीति को प्रतिबिंबित करना चाहिए कि उपयोगकर्ता कंप्यूटर के लिए क्या उपयोग कर रहे हैं, उपयोगकर्ता इस पर कितनी संवेदनशील जानकारी संभालता है। यदि यह केवल उन उपयोगकर्ताओं की प्राथमिकताओं को सम्‍मिलित करने के लिए है, जिन्‍हें आप पर हमला करने के लिए बाकी सब जगह होने की जरूरत नहीं है। यदि विपरीत स्थिति है, तो मुझे याद रखने के लिए जटिल पासवर्ड के बारे में विलाप करने वाले उपयोगकर्ता नाराज होंगे।

मेरे पास हर समय लगभग 20-कुछ जटिल पासवर्ड हैं, और मैंने उन्हें याद रखने के लिए कीबोर्ड पर पैटर्न का उपयोग करके उन्हें बनाना शुरू कर दिया है। यह आसान बनाता है क्योंकि मुझे केवल शुरुआती बिंदु और किस तरह के पैटर्न को जानना है। हर कोई बदलते पासवर्ड से नफरत करता है, लेकिन यह तकनीक मुझे उन्हें आसानी से बदलने और उन्हें याद रखने की अनुमति देती है, इसलिए सुरक्षा कम से कम है .. मेरे लिए कम से कम। मैं कागज के एक टुकड़े पर एक अक्षर भी नोट कर सकता हूं और अभी भी याद कर सकता हूं कि क्या पैटर्न बनाना है, और मुझे वास्तव में बहुत अच्छी तरह से चीजें याद नहीं हैं। हालांकि यह किसी के लिए भी किसी भी तरह का उपयोग है .. मुझे नहीं पता।

बिना किसी जटिल पासवर्ड के लिखना यह मुझे गलत लगता है। अगर कोई शारीरिक रूप से कंप्यूटर में सेंध लगाने की कोशिश कर रहा है, तो आप सुनिश्चित हो सकते हैं कि वे किसी कहानी-कहानी की तलाश करेंगे।

मेरा मानना ​​है, जब मैंने एक स्वास्थ्य संस्थान के लिए काम किया, तो हमारी कुछ आवश्यकताएं HIPAA से आईं। मैंने SOX regs पर ध्यान नहीं दिया (जो मुझे लगता है कि मैं अब बीमा दुनिया में पालन करता हूं), लेकिन उनके पास इस तरह की चीज के लिए आधार के रूप में कुछ समान भाषा हो सकती है।

इसके अलावा, यदि आप एक बड़े आईटी संगठन (एक बड़े निगम में उप-विभाजन) का हिस्सा हैं, तो निगम के पास ऐसे नियम हो सकते हैं जिनका पालन किया जा सकता है।

लब्बोलुआब यह है कि जो भी नीति लागू की जाती है, उसे वरिष्ठ प्रबंधन द्वारा आशीर्वाद दिया जाता है, और अधिमानतः एक सुरक्षा या आईटी नीति में लिखा जाता है जिसे सभी कर्मचारियों को / पालन करने के लिए जागरूक करने की आवश्यकता होती है। इसमें ड्रैकियन (हर 180 दिनों में पासवर्ड बदलना, अल्फा और न्यूमेरिक्स का संयोजन) की आवश्यकता नहीं है, लेकिन यह कंपनी की नीति होनी चाहिए ताकि हर कोई आवश्यकता पर स्पष्ट हो।

कुछ अच्छे सुझाव दिए गए हैं, इसलिए मैं इसे जोड़ने जा रहा हूं:

जब तक आप यह सुनिश्चित करने में सक्षम होते हैं कि आपको पॉलिसी से छूट दी जा सकती है ... मेरे पास एक अच्छी मेमोरी है, इसलिए व्यक्तिगत रूप से मैं एक 18 कैरेक्टर पासवर्ड का उपयोग करने में सक्षम होना चाहता हूं जो 6 महीने या उससे अधिक के लिए हास्यास्पद रूप से जटिल है सरल है कि मुझे महीने में एक बार बदलना होगा।

ध्यान रखें कि एक 16 वर्ण का पासवर्ड जो केवल लोअरकेस और अपरकेस अक्षरों का उपयोग करता है और रिक्त स्थान 53 ^ 16 संयोजन या 3.876 * 10 ^ 27 देता है, जबकि 10 वर्ण पासवर्ड जो लोअरकेस और अपरकेस अक्षरों का उपयोग करते हैं, संख्या और प्रतीक केवल 95 या 10 या 5.987 देता है। * 10 ^ 19।