사용자 비밀번호 사용 기간 / 복잡성 정책

내 사용자에게 합리적인 암호 정책을 결정하는 데 필요한 리소스가 있습니까? 내 개인적인 기대는 암호의 복잡성을 없애고 일종의 타협으로 덜 자주 변경할 수 있도록하는 것입니다. 평균 사용자는 5 년 또는 10 년 전에 비해 일부 숫자와 특수 문자를 혼합 할 수있는 내성이 더 높은 것 같습니다.

제안 된 정책 변경 사항을 백업하는 데 사용할 수있는 경험 규칙 및 / 또는 리소스를 찾고 있습니다. 또는 더 많은 경험을 가진 사람들의 일화 정보도 있습니다.

(저는 보안 전문가와는 거리가 멀기 때문에 막연하게 처리하려는 경우 내부 Windows 네트워킹 암호에만 적용 할 수 있도록 질문을 좁히겠습니다. VPN 및 웹과 관련하여 사람들이하는 일에 관심이 있습니다. 서비스 정책)

오늘날 무작위 무작위 무차별 암호 공격의 세계에서 나는 다음과 같은 진술에 동의하는 경향 이 있습니다.

다음은 암호 강도를 잘 비교 한 것입니다.

http://www.lockdown.co.uk/?pg=combi

사용자가 원하는 작업을 고려하여 올바른 일을하고 있습니다. 자주 변경해야하는 매우 복잡한 암호를 강요하면 포스트잇 노트 소비가 급증 할 것입니다.

Purdue 's CERIAS의 Gene Spafford 가이 주제에 상당한 기여를했습니다 . 부분 인용문은 다음과 같습니다.

그렇다면“한 달에 한 번 비밀번호 변경”dictum은 어디에서 왔습니까? 사람들이 네트워킹없이 메인 프레임을 사용하던 시절에 가장 큰 통제되지 않은 인증 문제는 크래킹이었습니다. 그러나 자원은 제한적이었다. 내가 찾을 수있는 한, 일부 DoD 계약 업체는 메인 프레임을 사용하여 가능한 모든 비밀번호를 실행하는 데 걸리는 시간에 대한 백 오브 백을 계산했으며 그 결과는 몇 달이 걸렸습니다. 따라서 그들은 체계적인 크래킹 시도를 물리 치기위한 수단으로 암호 변경 기간을 1 개월로 설정했습니다. 그런 다음 정책에 간청되어 출판되었으며 수년 동안 다른 사람들이 크게 받아 들였습니다. 시간이 지남에 따라 감사인들은이를 찾아서 예상 한대로“모범 사례”로 구축했습니다.

이것은 합리적인 분석 결과에 따르면 매월 비밀번호 변경이 보안 향상에 거의 영향을 미치지 않거나 전혀 영향을 미치지 않는다는 사실이 밝혀졌습니다!
30 년 전 DoD 환경에서 네트워크에 연결되지 않은 메인 프레임을 사용한 경험을 바탕으로 한 "모범 사례"입니다. 오늘날 시스템, 특히 학계에서는 거의 일치하지 않습니다!

나는 단어와 숫자를 혼합하는 대신 더 긴 암호 (실제로 여러 단어 구문에서 기억하는 것을 의미 함)를 선호합니다. 사람들이 숫자를 추가하도록 강요하면 i를 1 등으로 바꾸는 것과 같은 간단한 일을 할 가능성이 높으므로 보안이 크게 향상되지 않습니다.

http://www.iusmentis.com/security/passphrasefaq/

비밀번호 정책에 관한 자료가 많이 있습니다. 한 번 살펴 보는 것이 좋습니다

• 비밀번호 정책 에 관한 Wikipedia 기사
• SANS 비밀번호 정책 문서.
• Enterprise Password Management 가이드 라는 제목의 NIST sp800-118 초안

이제 비밀번호 보안 에 대해 이야기해야합니다 . 사실 기억하기 어려운 비밀번호는 기록되어 있습니다. 너무 자주 변경해야하는 암호도 마찬가지입니다. 결론은 보호 대상과 사용자 기반에 따라 다릅니다.

정책은 사용자가 컴퓨터를 사용하는 대상, 사용자가 처리하는 정보의 양을 반영해야합니다. 사용자 환경 설정 만 포함한다면 공격을 막기 위해 다른 모든 것이 있다면 크게 강화할 필요는 없습니다. 그 반대의 경우에는 복잡한 암호에 대해 신음하는 사용자를 성가 시게 할 것입니다.

나는 항상 머리에 약 20 개의 복잡한 암호를 가지고 있으며, 키보드의 패턴을 사용하여 암호를 작성하기 시작했습니다. 시작점과 어떤 종류의 패턴 만 알면되기 때문에 더 쉬워집니다. 누구나 암호 변경을 싫어하지만이 기술을 사용하면 쉽게 변경하고 기억할 수 있으므로 보안이 엄격합니다. 한 장의 종이에 한 글자를 적어두고 어떤 패턴을 만들어야하는지 기억할 수 있습니다. 그러나 이것이 누군가를 위해 사용된다면 .. 나는 모른다.

난독 화하지 않고 복잡한 암호를 작성하면 나에게 잘못 된 것 같습니다. 누군가가 컴퓨터에 물리적으로 침입하려고하는 경우, 이야기를 찾을 수 있습니다.

의료 기관에서 일할 때 일부 요구 사항은 HIPAA에서 비롯된 것입니다. 나는 SOX 등록을 보지 않았지만 (지금은 보험 업계에서 고수하고 있다고 생각합니다), 이런 종류의 기초와 비슷한 언어가있을 수 있습니다.

그 외에도, 더 큰 IT 조직 (대기업의 하위 부서)의 일부인 경우 회사는 준수 할 수있는 규칙을 가질 수 있습니다.

결론은 정책이 구현 될 때마다 고위 경영진의 축복을받는 것이 바람직하며 모든 직원이 인식 / 준수해야하는 보안 또는 IT 정책으로 작성하는 것이 좋습니다. 드라 코니 언일 필요는 없지만 (180 일마다 비밀번호 변경, 알파와 숫자 조합) 회사 정책이어야하므로 모든 사람이 요구 사항을 명확하게 알 수 있습니다.

좋은 제안이되었으므로 다음을 추가하겠습니다.

당신이 정책에서 면제받을 수 있는지 확인하는 한 ... 나는 좋은 기억력을 가지고 있기 때문에 개인적으로 나는 6 개월 이상 이상으로 엄청나게 복잡한 18 자 암호를 사용하는 것을 선호합니다 한 달에 한 번 변경해야하는 간단한 것입니다.

소문자와 대문자 및 공백 만 사용하는 16 자 암호는 53 ^ 16 조합 또는 3.876 * 10 ^ 27을 제공하는 반면, 소문자와 대문자, 숫자 및 기호를 사용하는 10 자 암호는 95 ^ 10 또는 5.987 만 제공합니다. * 10 ^ 19.