합리적인 비밀번호 정책

회사 보안 정책을 수립하는 일을 맡았습니다. 이것의 일부로, 현명하지만 안전한 암호 (길이, 문자 등), 변경 빈도, 암호 기록 길이 등을 정의하고 싶습니다.

분명히 나는 ​​실용성과 보안의 균형이 필요합니다.

사람들은 일반적으로 좋은 비밀번호 정책을 어떻게 생각합니까?

Wikipedia에는 이 주제 에 대한 좋은 요약 이 있습니다.

일반적인 비밀번호 연습 비밀번호 정책에는 종종 다음과 같은 적절한 비밀번호 관리에 대한 조언이 포함됩니다.

• 컴퓨터 계정을 공유하지 마십시오
• 둘 이상의 계정에 동일한 비밀번호를 사용하지 마십시오
• 고객 서비스 또는 보안 담당자라고 주장하는 사람을 포함하여 다른 사람에게 비밀번호를 말하지 마십시오.
• 비밀번호를 적어 두지 마십시오
• 전화, 이메일 또는 인스턴트 메시징을 통해 비밀번호를 전달하지 않습니다
• 무인 컴퓨터를 떠나기 전에 로그 오프에주의
• 의심 될 때마다 비밀번호가 변경 될 수 있습니다.
• 운영 체제 비밀번호와 애플리케이션 비밀번호가 다릅니다
• 비밀번호는 영숫자 여야합니다
• 암호를 완전히 무작위로 만들지 만 기억하기 쉽습니다.

TU 델프트의 제안 :

허용되는 비밀번호의 특성

• 비밀번호는 8 자 이상이어야하며
• 대문자가 하나 이상 포함되어 있으며
• 소문자가 하나 이상 포함되어 있으며
• 적어도 하나의 숫자 또는 다른 문자 (예 :! @ # $ % ^ & () {} [] <> ...)를 포함합니다.
• 익숙한 언어 나 전문 용어의 용어가 아니며
• 동봉 된 계정 이름, 개인 특성 또는 가족 / 사회 단체의 정보와 동일하거나 그로부터 파생되지 않습니다.
• 예를 들어 핵심 문장으로 기억하기 쉽습니다.
• 유창하게 입력 할 수 있습니다.

비밀번호 보호를위한 모범 사례

• 직장과 개인 생활에 동일한 비밀번호를 사용하지 마십시오.
• 모든 비밀번호를 민감한 정보로 간주하고 동료, 가족 또는 다른 지인의 계정과 공유하지 마십시오.
• 정상적인 상황이나 휴가 또는 병이 발생한 경우 동료, 상사 또는 다른 지인에게 암호를 공개하지 마십시오.
• 공개적으로, 전화로 또는 암호화되지 않은 통신으로 비밀번호를 언급하지 마십시오.
• 자유롭게 접근 할 수있는 위치에 비밀번호를 적어 두지 마십시오.
• 암호를 기억하는 데 사용되는 니모닉에 대한 힌트를주지 마십시오.
• 설문지 또는 보안 양식에 비밀번호에 대한 정보를 제공하지 마십시오.
• 오용이 의심되는 경우이를 보안 조직에보고하고 관련된 모든 비밀번호를 즉시 변경하십시오.
• 누군가 비밀번호를 알고 싶다면이 정책을 참조하십시오.

키로거 및 피싱 공격이 확산되면서 조직에서 "강력한"암호에 대한 대안을 고려하는 것이 어려울 수 있습니다. 강력한 웹 암호가 무엇을 수행합니까?에 관한 Bruce Schneier의 블로그를 참조하십시오 .

이중 인증을 사용하는 것이 좋습니다. 축구, SecureID 및 Yubikey 사이 에서 두 번째 인증 요소를 구현하는 것은 매우 쉽고 상대적으로 저렴합니다.

비밀번호 를 추적하는 데 비밀번호 안전 이 마음 에 듭니다.

내 제안 :

• 단어가 아닌 패스 문구를 장려하십시오. 3-4 개의 단어로 구성된 넌센스 문구는 8 개의 깨진 문자보다 기억하기 쉽습니다.

• 합리적인 최대 수명을 설정하십시오. 3 개월에서 6 개월.

• 암호를 보호하기 위해 1337 발언에 의존하지 마십시오. Crack 과 같은 무차별 사전 공격자들은 20 년 가까이 문자-> 숫자 변경을 수행해 왔습니다. 그러나 문자, 숫자, 대소 문자 및 문장 부호가 필요합니다.

• 영어 이외의 단어를 사용하여 보안을 유지하지 마십시오. 어떤 바보라도 프로그램에 여러 사전을로드 할 수 있습니다. 그가 언어를 말하는지의 여부는 중요하지 않습니다.

내가 사용하는 개인적인 물건

• 중요한 것들; Gmail, 웹 호스트, 온라인 뱅킹-DropBox의 KeePass DB 에 저장된 다른 16 비트 랜덤 생성 (A-Za-z0-9) 은 복잡하지만 기억하기 쉬운 암호로 암호화됩니다. 어쩌면 조금 지나치게 열광적이지만 번거롭지 않습니다.
• 포럼, 돈과 관련이없는 계정 등 일반적이고 덜 중요한 것들에 대해서는 더 간단한 암호를 사용합니다.

얼마나 자주 변경해야하는지에 대한 "합리적인"빈도를 선택해야합니다. 너무 빠르면 사람들이 <old_password>+<number>(또는 비슷한 것으로) 퇴화되어 암호가 손상 될 위험이 높아집니다. 이를 방지하기 위해 설정할 수있는 규칙이 있는지 조사하는 것이 좋습니다.

마찬가지로 사람들이 자신의 계정에 대해 두 개 (또는 세 개)의 암호를 바꾸지 않도록 너무 많은 변경 (아마도 10 개)에 암호를 재사용 할 수 없다는 규칙이 필요합니다.

최소한 하나 이상의 대문자로 암호를 영숫자로 만드십시오. 조금 더 안전하게 만들기 위해서는 영숫자가 아닌 문자가 하나 이상 있어야합니다.

SuperGenPass 와 같은 암호 생성기와 같은 것을 가질 수 있습니다 . 따라서 암호가 약할 수 있지만 생성 된 문자열은 매우 강력합니다. 그러나 그것은 웹 사이트 로그인에 더 많은 것입니다.

다른 옵션은 다음과 같습니다.

1. 암호로 1337 음성을 사용하십시오.
2. 구두점과 함께 단계 사용 예 : 매우 긴 암호입니다!
3. [Th1s는 v3ry v3ry l0ng p4ssw0rd입니다!]

금요일에 클라이언트 사이트에서 비밀번호를 변경해야했습니다. 그들이 가진 규칙은 말도 안됩니다. 대문자, 구두점, 최소 길이 등을 포함 해야하는 모든 표준입니다.

• 첫 번째 문자는 문장 부호 문자 일 수 없습니다.
• 사전 단어가 없습니다.
• 동일한 문자를 두 번 사용할 수 없습니다.

문제는 그들이 너무 복잡하여 하나를 찾기가 거의 불가능하다는 것입니다. 특히 오류 메시지에 추가 요구 사항이 나와 있지 않기 때문입니다.

헬프 데스크에 전화를 걸어서이 Pa5word # (실제 암호가 아님)와 같은 것을 사용하고 숫자를 계속 증가시킵니다 ....

예를 들어 "thisismypasswordforjanurary"는 기억하기 쉽고 매우 안전하지만 대부분의 시스템은 이러한 유형의 암호 문구를 허용하지 않습니다.

그래서 사람들이 단어를 사용할 수 없으며 l33t 스타일의 암호가 필요하지 않은 방식으로 15-20 자의 최소 길이로 투표합니다.

당신이 무엇을 선택하든, 나는 당신이 제한 사항이 무엇인지, 그리고 왜 제한이 있는지, 그리고 사용자가 안전한 제한을 생성하도록 돕는 몇 가지 예를 문서화해야합니다.

여기에있는 대부분의 답변자들은 바로 정책 제안을합니다. 어느 것이 질문에 대답하여 좋을까요. 그러나 제 생각에는 먼저 스스로에게이를 물어봐야합니다. 보호하는 정보가 얼마나 중요합니까?

예를 들어, 기밀 정보를 보호하기위한 국방부의 암호 정책은 전자 메일 계정을 버리는 데 사용할 정책과 크게 다를 수 있습니다.

짧은 버전 :

내 관리자 부분에는 소문자와 대문자 및 숫자가있는 12-16 자 암호가 있습니다. 또한 사전에없는 임의의 텍스트 부분이 있어야합니다. 네트워크 기반 무차별 대입 공격을 방지하기에 충분해야합니다.

사용자는 암호가 길더라도 (16 자 이상) 기억하기 쉬운 암호를 좋아합니다. 일단 기억하면 충분히 빨리 입력 할 수 있습니다. 어쩌면 정책을 시행하는 대신 임의의 문자 덩어리가 아니라 안전하고 쉽게 기억할 수있는 암호를 선택하도록 사용자에게 가르치는 영리한 방법을 찾아야 할 것입니다.