Passordpolicy

Typiske komponenter i en passordpolicy inkluderer:

Passordlengde og formasjonrediger

Se også: Passordstyrke

Mange policyer krever en minimum passordlengde. Åtte tegn er typisk, men kan ikke være hensiktsmessig. Lengre passord er generelt sikrere, men noen systemer krever en maksimal lengde for kompatibilitet med eldre systemer.

noen retningslinjer foreslår eller stiller krav til hvilken type passord en bruker kan velge, for eksempel:

  • bruk av både store og små bokstaver (saksfølsomhet)
  • inkludering av ett eller flere numeriske sifre
  • inkludering av spesialtegn, for eksempel @, #, $
  • forbud mot ord som finnes i en passordblokkeringsliste
  • forbud mot ord som finnes i brukerens personlige opplysninger
  • forbud mot bruk av firmanavn eller forkortelse
  • forbud mot passord som samsvarer med formatet på kalenderdatoer, nummerskilt, telefonnumre eller andre vanlige tall

andre systemer oppretter en initial passord for brukeren; men krever da å endre det til en av sine egne valg innen et kort intervall.

Passordblokk listEdit

passordblokklister er lister over passord som alltid er blokkert fra bruk. Blokkeringslister inneholder passord laget av tegnkombinasjoner som ellers oppfyller selskapets policy, men bør ikke lenger brukes fordi de har blitt ansett usikre av en eller flere grunner, for eksempel å være lett å gjette, følge et felles mønster eller offentliggjøring fra tidligere databrudd. Vanlige eksempler Er Password1, Qwerty123 eller Qaz123wsx.

passordvarighetrediger

noen retningslinjer krever at brukere endrer passord regelmessig, ofte hver 90. eller 180. dag. Fordelen med passordutløp er imidlertid diskutabel. Systemer som implementerer slike policyer, forhindrer noen ganger brukere i å velge et passord for nær et tidligere valg.

denne policyen kan ofte slå tilbake. Noen brukere finner det vanskelig å utarbeide «gode» passord som også er enkle å huske, så hvis folk må velge mange passord fordi de må endre dem ofte, ender de opp med å bruke mye svakere passord; politikken oppfordrer også brukere til å skrive passord ned. Også, hvis policyen hindrer en bruker fra å gjenta et nytt passord, krever dette at det finnes en database i eksistensen av alles siste passord (eller deres hashes) i stedet for å ha de gamle slettet fra minnet. Til slutt kan brukerne endre passordet gjentatte ganger i løpet av få minutter, og deretter bytte tilbake til den de virkelig vil bruke, og omgå passordendringspolitikken helt.

de menneskelige aspektene ved passord må også vurderes. I motsetning til datamaskiner kan menneskelige brukere ikke slette ett minne og erstatte det med et annet. Følgelig er det ofte å endre et memorisert passord en belastning på det menneskelige minnet, og de fleste brukere ty til å velge et passord som er relativt enkelt å gjette (Se Passordtretthet). Brukere anbefales ofte å bruke mnemonic-enheter for å huske komplekse passord. Men hvis passordet må endres gjentatte ganger, mnemonics er ubrukelig fordi brukeren ikke ville huske hvilken mnemonic å bruke. Videre gjør bruken av mnemonikk (som fører til passord som «2BOrNot2B») passordet lettere å gjette.

Administrasjonsfaktorer kan også være et problem. Brukere har noen ganger eldre enheter som krever et passord som ble brukt før passordvarigheten utløp. For å administrere disse eldre enhetene må brukerne kanskje ty til å skrive ned alle gamle passord hvis de trenger å logge inn på en eldre enhet.

Krever et veldig sterkt passord og ikke krever at det endres, er ofte bedre. Denne tilnærmingen har imidlertid en stor ulempe: hvis en uautorisert person kjøper et passord og bruker det uten å bli oppdaget, kan personen ha tilgang på ubestemt tid.

det er nødvendig å veie disse faktorene: sannsynligheten for at noen gjetter et passord fordi det er svakt, mot sannsynligheten for at noen klarer å stjele, eller på annen måte skaffe seg uten å gjette, et sterkere passord.

Bruce Schneier hevder at «stort sett alt som kan bli husket kan bli sprakk», og anbefaler en ordning som bruker passord som ikke vil vises i noen ordbøker.

Sanksjonrediger

Passordpolicyer kan omfatte progressive sanksjoner som begynner med advarsler og slutter med mulig tap av datarettigheter eller jobbavslutning. Hvor konfidensialitet er lovpålagt, f. eks. med klassifisert informasjon kan et brudd på passordpolitikken være straffbart. Noen anser en overbevisende forklaring på viktigheten av sikkerhet for å være mer effektiv enn trusler om sanksjoner.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.