합리적인 비밀번호 정책 문자 등), 변경 빈도, 암호 기록

회사 보안 정책을 수립하는 일을 맡았습니다. 이것의 일부로, 현명하지만 안전한 암호 (길이, 문자 등), 변경 빈도, 암호 기록 길이 등을 정의하고 싶습니다.

분명히 나는 ​​실용성과 보안의 균형이 필요합니다.

사람들은 일반적으로 좋은 비밀번호 정책을 어떻게 생각합니까?



답변

Wikipedia에는 이 주제 에 대한 좋은 요약 이 있습니다.

일반적인 비밀번호 연습 비밀번호 정책에는 종종 다음과 같은 적절한 비밀번호 관리에 대한 조언이 포함됩니다.

  • 컴퓨터 계정을 공유하지 마십시오
  • 둘 이상의 계정에 동일한 비밀번호를 사용하지 마십시오
  • 고객 서비스 또는 보안 담당자라고 주장하는 사람을 포함하여 다른 사람에게 비밀번호를 말하지 마십시오.
  • 비밀번호를 적어 두지 마십시오
  • 전화, 이메일 또는 인스턴트 메시징을 통해 비밀번호를 전달하지 않습니다
  • 무인 컴퓨터를 떠나기 전에 로그 오프에주의
  • 의심 될 때마다 비밀번호가 변경 될 수 있습니다.
  • 운영 체제 비밀번호와 애플리케이션 비밀번호가 다릅니다
  • 비밀번호는 영숫자 여야합니다
  • 암호를 완전히 무작위로 만들지 만 기억하기 쉽습니다.

TU 델프트의 제안 :

허용되는 비밀번호의 특성

  • 비밀번호는 8 자 이상이어야하며
  • 대문자가 하나 이상 포함되어 있으며
  • 소문자가 하나 이상 포함되어 있으며
  • 적어도 하나의 숫자 또는 다른 문자 (예 :! @ # $ % ^ & () {} [] <> …)를 포함합니다.
  • 익숙한 언어 나 전문 용어의 용어가 아니며
  • 동봉 된 계정 이름, 개인 특성 또는 가족 / 사회 단체의 정보와 동일하거나 그로부터 파생되지 않습니다.
  • 예를 들어 핵심 문장으로 기억하기 쉽습니다.
  • 유창하게 입력 할 수 있습니다.

비밀번호 보호를위한 모범 사례

  • 직장과 개인 생활에 동일한 비밀번호를 사용하지 마십시오.
  • 모든 비밀번호를 민감한 정보로 간주하고 동료, 가족 또는 다른 지인의 계정과 공유하지 마십시오.
  • 정상적인 상황이나 휴가 또는 병이 발생한 경우 동료, 상사 또는 다른 지인에게 암호를 공개하지 마십시오.
  • 공개적으로, 전화로 또는 암호화되지 않은 통신으로 비밀번호를 언급하지 마십시오.
  • 자유롭게 접근 할 수있는 위치에 비밀번호를 적어 두지 마십시오.
  • 암호를 기억하는 데 사용되는 니모닉에 대한 힌트를주지 마십시오.
  • 설문지 또는 보안 양식에 비밀번호에 대한 정보를 제공하지 마십시오.
  • 오용이 의심되는 경우이를 보안 조직에보고하고 관련된 모든 비밀번호를 즉시 변경하십시오.
  • 누군가 비밀번호를 알고 싶다면이 정책을 참조하십시오.

답변

키로거 및 피싱 공격이 확산되면서 조직에서 “강력한”암호에 대한 대안을 고려하는 것이 어려울 수 있습니다. 강력한 웹 암호가 무엇을 수행합니까?에 관한 Bruce Schneier의 블로그를 참조하십시오 .

이중 인증을 사용하는 것이 좋습니다. 축구, SecureID 및 Yubikey 사이 에서 두 번째 인증 요소를 구현하는 것은 매우 쉽고 상대적으로 저렴합니다.


답변

비밀번호 를 추적하는 데 비밀번호 안전 이 마음 에 듭니다.

내 제안 :

  • 단어가 아닌 패스 문구를 장려하십시오. 3-4 개의 단어로 구성된 넌센스 문구는 8 개의 깨진 문자보다 기억하기 쉽습니다.

  • 합리적인 최대 수명을 설정하십시오. 3 개월에서 6 개월.

  • 암호를 보호하기 위해 1337 발언에 의존하지 마십시오. Crack 과 같은 무차별 사전 공격자들은 20 년 가까이 문자-> 숫자 변경을 수행해 왔습니다. 그러나 문자, 숫자, 대소 문자 및 문장 부호가 필요합니다.

  • 영어 이외의 단어를 사용하여 보안을 유지하지 마십시오. 어떤 바보라도 프로그램에 여러 사전을로드 할 수 있습니다. 그가 언어를 말하는지의 여부는 중요하지 않습니다.


답변

내가 사용하는 개인적인 물건

  • 중요한 것들; Gmail, 웹 호스트, 온라인 뱅킹-DropBox의 KeePass DB 에 저장된 다른 16 비트 랜덤 생성 (A-Za-z0-9) 은 복잡하지만 기억하기 쉬운 암호로 암호화됩니다. 어쩌면 조금 지나치게 열광적이지만 번거롭지 않습니다.
  • 포럼, 돈과 관련이없는 계정 등 일반적이고 덜 중요한 것들에 대해서는 더 간단한 암호를 사용합니다.

답변

얼마나 자주 변경해야하는지에 대한 “합리적인”빈도를 선택해야합니다. 너무 빠르면 사람들이 <old_password>+<number>(또는 비슷한 것으로) 퇴화되어 암호가 손상 될 위험이 높아집니다. 이를 방지하기 위해 설정할 수있는 규칙이 있는지 조사하는 것이 좋습니다.

마찬가지로 사람들이 자신의 계정에 대해 두 개 (또는 세 개)의 암호를 바꾸지 않도록 너무 많은 변경 (아마도 10 개)에 암호를 재사용 할 수 없다는 규칙이 필요합니다.

최소한 하나 이상의 대문자로 암호를 영숫자로 만드십시오. 조금 더 안전하게 만들기 위해서는 영숫자가 아닌 문자가 하나 이상 있어야합니다.


답변

SuperGenPass 와 같은 암호 생성기와 같은 것을 가질 수 있습니다 . 따라서 암호가 약할 수 있지만 생성 된 문자열은 매우 강력합니다. 그러나 그것은 웹 사이트 로그인에 더 많은 것입니다.

다른 옵션은 다음과 같습니다.

  1. 암호로 1337 음성을 사용하십시오.
  2. 구두점과 함께 단계 사용 예 : 매우 긴 암호입니다!
  3. [Th1s는 v3ry v3ry l0ng p4ssw0rd입니다!]


답변

금요일에 클라이언트 사이트에서 비밀번호를 변경해야했습니다. 그들이 가진 규칙은 말도 안됩니다. 대문자, 구두점, 최소 길이 등을 포함 해야하는 모든 표준입니다.

  • 첫 번째 문자는 문장 부호 문자 일 수 없습니다.
  • 사전 단어가 없습니다.
  • 동일한 문자를 두 번 사용할 수 없습니다.

문제는 그들이 너무 복잡하여 하나를 찾기가 거의 불가능하다는 것입니다. 특히 오류 메시지에 추가 요구 사항이 나와 있지 않기 때문입니다.

헬프 데스크에 전화를 걸어서이 Pa5word # (실제 암호가 아님)와 같은 것을 사용하고 숫자를 계속 증가시킵니다 ….

예를 들어 “thisismypasswordforjanurary”는 기억하기 쉽고 매우 안전하지만 대부분의 시스템은 이러한 유형의 암호 문구를 허용하지 않습니다.

그래서 사람들이 단어를 사용할 수 없으며 l33t 스타일의 암호가 필요하지 않은 방식으로 15-20 자의 최소 길이로 투표합니다.

당신이 무엇을 선택하든, 나는 당신이 제한 사항이 무엇인지, 그리고 왜 제한이 있는지, 그리고 사용자가 안전한 제한을 생성하도록 돕는 몇 가지 예를 문서화해야합니다.