संवेदनशील पासवर्ड नीति

मुझे कंपनी सुरक्षा नीति को एक साथ रखने का काम सौंपा गया है। इस के भाग के रूप में मैं परिभाषित करना चाहता हूं कि एक समझदार लेकिन सुरक्षित पासवर्ड (लंबाई, वर्ण आदि) क्या है, उन्हें कितनी बार बदलना चाहिए, पासवर्ड इतिहास की लंबाई और इतने पर।

जाहिर है मुझे व्यावहारिकता के खिलाफ सुरक्षा को संतुलित करने की आवश्यकता है।

आम तौर पर लोग एक अच्छी पासवर्ड नीति को क्या मानते हैं?

इस विषय पर विकिपीडिया का अच्छा सारांश है

आम पासवर्ड प्रैक्टिस पासवर्ड नीतियों में अक्सर उचित पासवर्ड प्रबंधन जैसे सलाह शामिल हैं:

• कभी भी कंप्यूटर अकाउंट शेयर न करें
• कभी भी एक से अधिक खातों के लिए एक ही पासवर्ड का उपयोग न करें
• ग्राहक सेवा या सुरक्षा से दावा करने वाले लोगों सहित किसी को भी पासवर्ड न बताएं
• कभी भी पासवर्ड न लिखें
• कभी भी टेलीफोन, ई-मेल या इंस्टेंट मैसेजिंग द्वारा पासवर्ड का संचार नहीं करना चाहिए
• बिना कंप्यूटर को छोड़ने से पहले लॉग ऑफ करने में सावधानी बरतें
• पासवर्ड बदलने से जब भी संदेह होता है तो उनसे समझौता किया जा सकता है
• ऑपरेटिंग सिस्टम पासवर्ड और एप्लिकेशन पासवर्ड अलग-अलग हैं
• पासवर्ड अल्फा-न्यूमेरिक होना चाहिए
• पासवर्ड बनाने के लिए यादृच्छिक यादृच्छिक लेकिन आपको याद रखना आसान है

टीयू डेल्फ़्ट से सुझाव :

स्वीकार्य पासवर्ड के लक्षण

• एक पासवर्ड में कम से कम आठ अक्षर होते हैं, और
• इसमें कम से कम एक ऊपरी मामला पत्र शामिल है, और
• इसमें कम से कम एक कम अक्षर वाला पत्र शामिल है, और
• इसमें कम से कम एक अंक या कोई अन्य वर्ण शामिल होता है जैसे! @ # $% ^ & () {} [] <> ..., और
• यह एक परिचित भाषा या शब्दजाल में एक शब्द नहीं है, और
• यह व्यक्तिगत विशेषताओं से या किसी के पारिवारिक / सामाजिक दायरे से और साथ में, खाते के नाम से या उसके समान नहीं है
• उदाहरण के लिए, एक प्रमुख वाक्य के माध्यम से, और, यह याद रखना आसान है
• इसे धाराप्रवाह में टाइप किया जा सकता है।

पासवर्ड की सुरक्षा के लिए सर्वोत्तम अभ्यास

• काम और निजी जीवन के लिए एक ही पासवर्ड के उपयोग से बचें;
• सभी पासवर्डों को संवेदनशील जानकारी के रूप में मानें, और उन्हें सहयोगियों, परिवार के सदस्यों या अन्य परिचितों के खातों के साथ साझा न करें;
• सहकर्मियों, किसी के बॉस या अन्य परिचितों को पासवर्ड न बताएं, न तो सामान्य परिस्थितियों में और न ही छुट्टी या बीमारी की स्थिति में;
• सार्वजनिक रूप से टेलीफोन या अनएन्क्रिप्टेड संचार द्वारा किसी भी पासवर्ड का उल्लेख न करें;
• स्वतंत्र रूप से सुलभ स्थान में पासवर्ड को कभी नोट न करें;
• अपने पासवर्ड को याद रखने के लिए उपयोग किए जाने वाले ममन के बारे में कोई संकेत न दें;
• प्रश्नावली या सुरक्षा रूपों में पासवर्ड के बारे में जानकारी कभी न दें;
• यदि दुरुपयोग का संदेह है, तो इसे सुरक्षा संगठन को रिपोर्ट करें और तुरंत सभी शामिल पासवर्ड बदल दें;
• यदि कोई पासवर्ड जानना चाहता है, तो उसे इस नीति का संदर्भ दें।

Keyloggers और फ़िशिंग हमलों के प्रसार के साथ, यह आपके संगठन को "मजबूत" पासवर्ड के विकल्प पर विचार करने के लिए प्रेरित कर सकता है। पेपर के बारे में ब्रूस श्नीयर का ब्लॉग देखें क्या मजबूत वेब पासवर्ड कुछ भी पूरा करते हैं?

मैं दो-कारक प्रमाणीकरण का उपयोग करने का दृढ़ता से सुझाव दूंगा। फुटबॉल, सिक्योरआईडी और यूबीकी के बीच, प्रमाणीकरण के दूसरे कारक को लागू करना बहुत आसान और अपेक्षाकृत सस्ता है।

मुझे पासवर्ड का ट्रैक रखने के लिए पासवर्डस्फीयर पसंद है ।

मेरे सुझाव:

• पास वाक्यांशों को प्रोत्साहित करें, शब्द नहीं। 3-4 शब्दों से बना एक बकवास वाक्यांश 8 विकृत पात्रों की तुलना में याद रखना आसान है।

• एक उचित अधिकतम जीवनकाल सेट करें। 3 से 6 महीने तक।

• एक पासवर्ड की सुरक्षा के लिए 1337 पर भरोसा न करें। क्रैक जैसे ब्रूट फोर्स डिक्शनरी हमलावर 20 साल के लिए पत्र-> संख्या परिवर्तन कर रहे हैं। लेकिन अक्षरों, संख्याओं, ऊपरी- और लोअरकेस और विराम चिह्न की आवश्यकता होती है।

• सुरक्षा के लिए गैर-अंग्रेजी शब्दों पर भरोसा न करें। कोई भी मूर्ख एक कार्यक्रम में कई शब्दकोशों को लोड कर सकता है। इससे कोई फर्क नहीं पड़ता कि वह भाषा बोलता है या नहीं।

व्यक्तिगत सामान के लिए मैं उपयोग करता हूं

• महत्वपूर्ण चीजों के लिए; GMail, वेब होस्ट, ऑनलाइन बैंकिंग - ड्रॉपबॉक्स पर KeePass DB में संग्रहित एक अलग-अलग 16-बिट रैंडमली जेनरेट (A-Za-z0-9) एक जटिल लेकिन आसानी से याद किया जाने वाला पासफ़्रेज़ के साथ एन्क्रिप्ट किया गया। शायद थोडा अति हो जाए लेकिन यह ज्यादा परेशानी वाला नहीं है।
• सामान्य, कम महत्वपूर्ण चीज़ों के लिए - फ़ोरम, गैर-धन से संबंधित खाते आदि, मैं सरल पासवर्ड के एक सेट का उपयोग करता हूं।

आपको एक "समझदार" आवृत्ति चुनने की आवश्यकता है कि उन्हें कितनी बार बदलना चाहिए। बहुत जल्दी और लोग <old_password>+<number>(या कुछ इसी तरह) में पतित होंगे , इसलिए धीरे-धीरे और आप पासवर्ड से समझौता होने का खतरा बढ़ाते हैं। यह जांच के लायक हो सकता है कि क्या कोई नियम है जिसे आप इसके खिलाफ रख सकते हैं।

समान रूप से आपको एक नियम की आवश्यकता होती है जो कहता है कि इतने सारे परिवर्तनों (शायद 10) के लिए पासवर्ड का पुन: उपयोग नहीं किया जा सकता है ताकि लोग अपने खाते के लिए दो (या तीन) पासवर्डों के बीच स्वैपिंग न करें।

कम से कम एक पूंजी के साथ कम से कम अल्फ़ान्यूमेरिक का पासवर्ड बनाएं। इसे थोड़ा और सुरक्षित बनाने के लिए कि कम से कम एक गैर अल्फ़ान्यूमेरिक चरित्र भी मिल गया है।

आपके पास पासवर्ड जनरेटर जैसे SuperGenPass जैसा कुछ हो सकता है । इसलिए उनके पास एक कमजोर पासवर्ड हो सकता है लेकिन उत्पन्न स्ट्रिंग बेहद मजबूत होगी। लेकिन यह वेबसाइट लॉगिन के लिए अधिक होगा।

अन्य विकल्प होंगे:

1. पासवर्ड में 1337 स्पोक का उपयोग करें।
2. विराम चिह्नों के साथ चरणों का उपयोग करें। यह एक बहुत लंबा पासवर्ड है!
3. दो में शामिल हों [Th1s, एक v3ry v3ry l0ng p4ssw0rd!] है

शुक्रवार को मुझे अपने क्लाइंट साइट पर अपना पासवर्ड बदलना पड़ा। उनके पास जो नियम हैं वे हास्यास्पद हैं। वे सभी मानक हैं जिनके बारे में अपरकेस, विराम चिह्न, न्यूनतम लंबाई, आदि के साथ-साथ होना चाहिए।

• पहला वर्ण विराम चिह्न वर्ण नहीं हो सकता है।
• शब्दकोश शब्द नहीं।
• एक ही चरित्र का दो बार उपयोग नहीं किया जा सकता है।

समस्या यह है कि वे इतने जटिल हैं कि किसी एक को ढूंढना लगभग असंभव है, विशेष रूप से क्योंकि त्रुटि संदेश आपको अतिरिक्त आवश्यकताओं को नहीं बताता है।

मैंने हेल्प डेस्क को कॉल किया और उन्होंने कहा, बस इस Pa5word # (असली पासवर्ड नहीं) का उपयोग करें और फिर नंबर बढ़ाते रहें ...।

मुझे ये सिस्टम पूरी तरह से पागल लगते हैं क्योंकि वे आपको पासफ़्रेज़ का उपयोग करने से रोकते हैं उदाहरण के लिए "thisismypasswordforjanurary" यह याद रखना बहुत आसान है और बहुत ही सुरक्षित है, लेकिन अधिकांश सिस्टम इस प्रकार के पास वाक्यांशों की अनुमति नहीं देते हैं।

इसलिए मैं एक उच्च न्यूनतम लंबाई के लिए मतदान करूंगा, 15-20 वर्णों का कहना है कि जिस तरह से लोग सिर्फ शब्दों का उपयोग नहीं कर सकते हैं और l33t शैली के पासवर्ड की आवश्यकता नहीं है।

जो कुछ भी आप चुनते हैं, मैं आपको यह सुनिश्चित करने के लिए दस्तावेज़ बनाता हूं कि प्रतिबंध क्या हैं, और वे क्यों हैं और उपयोगकर्ताओं के लिए उन्हें सुरक्षित बनाने में मदद करने के लिए कुछ उदाहरण हैं।

यहां ज्यादातर ऐंजर्स सीधे नीतियों का सुझाव देने के लिए जाते हैं। जो प्रश्न का उत्तर देता है, इसलिए यह अच्छा है। लेकिन मेरी राय में आपको पहले खुद से यह पूछने की जरूरत है: आपके द्वारा संरक्षित की जा रही जानकारी कितनी महत्वपूर्ण है?

उदाहरण के लिए, गोपनीय जानकारी को सुरक्षित रखने के लिए रक्षा विभाग के लिए पासवर्ड नीति संभवतः उस नीति से काफी अलग होगी, जिसका उपयोग आप अपने ईमेल खातों के लिए करेंगे।

लघु संस्करण:

मेरे बारे में एडमिन का कहना है कि लोअर और अपर-केस अक्षर और संख्या दोनों के साथ 12-16 कैरेक्टर पासवर्ड हैं। इसके अलावा एक यादृच्छिक पाठ हिस्सा होना चाहिए जो किसी भी शब्दकोश में नहीं है। नेटवर्क-आधारित जानवर-बल के हमलों को रोकने के लिए पर्याप्त होना चाहिए।

एक उपयोगकर्ता के रूप में मुझे ऐसे पासवर्ड पसंद हैं जो याद रखना आसान है, भले ही वे लंबे (16 वर्ण और ऊपर) हो सकते हैं। एक बार जब मैं इसे याद करता हूं तो मैं इसे तेजी से टाइप कर सकता हूं। हो सकता है कि केवल एक नीति लागू करने के बजाय आपको अपने उपयोगकर्ताओं को सुरक्षित और आसानी से याद किए जाने वाले पासवर्ड चुनने के लिए चतुर तरीके खोजने चाहिए, न कि केवल वर्णों का यादृच्छिक हिस्सा।