Politica de parolă

componentele tipice ale unei politici de parolă includ:

lungimea parolei și formationEdit

Vezi și: puterea parolei

multe politici necesită o lungime minimă a parolei. Opt caractere este tipic, dar nu pot fi adecvate. Parolele mai lungi sunt, în general, mai sigure, dar unele sisteme impun o lungime maximă pentru compatibilitatea cu sistemele vechi.

unele politici sugerează sau impun cerințe cu privire la ce tip de parolă poate alege un utilizator, cum ar fi:

  • utilizarea literelor majuscule și minuscule (sensibilitate la majuscule)
  • includerea uneia sau mai multor cifre numerice
  • includerea caracterelor speciale, cum ar fi @, #, $
  • interzicerea cuvintelor găsite într-o listă de parole
  • interzicerea cuvintelor găsite în informațiile personale ale utilizatorului
  • interzicerea utilizării numelui companiei sau a unei abrevieri
  • interzicerea parolelor care se potrivesc cu formatul datelor calendaristice, numerele de înmatriculare, numerele de telefon sau alte numere comune

alte sisteme creează o listă de parole parola inițială pentru utilizator; dar necesită apoi să-l schimbe la unul din propria lor alegere într-un interval scurt.

Password block listEdit

Password block listele sunt liste de parole care sunt întotdeauna blocate de la utilizare. Listele de blocuri conțin parole construite din combinații de caractere care altfel respectă politica companiei, dar nu ar mai trebui utilizate deoarece au fost considerate nesigure din unul sau mai multe motive, cum ar fi ghicitul cu ușurință, urmarea unui model comun sau dezvăluirea publică a încălcărilor anterioare ale datelor. Exemple comune sunt Password1, Qwerty123 sau Qaz123wsx.

parola durateedit

unele politici solicită utilizatorilor să schimbe parolele periodic, adesea la fiecare 90 sau 180 de zile. Cu toate acestea, beneficiul expirării parolei este discutabil. Sistemele care implementează astfel de politici împiedică uneori utilizatorii să aleagă o parolă prea aproape de o selecție anterioară.

această politică se poate întoarce adesea. Unii utilizatori consideră că este greu să elaboreze parole „bune”, care sunt, de asemenea, ușor de reținut, așa că, dacă oamenii trebuie să aleagă multe parole, deoarece trebuie să le schimbe des, ajung să folosească parole mult mai slabe; Politica încurajează, de asemenea, utilizatorii să scrie parole. De asemenea, dacă politica împiedică un utilizator să repete o parolă recentă, acest lucru necesită existența unei baze de date cu parolele recente ale tuturor (sau hash-urile lor) în loc să le șteargă pe cele vechi din memorie. În cele din urmă, utilizatorii își pot schimba parola în mod repetat în câteva minute, apoi pot reveni la cea pe care doresc cu adevărat să o folosească, ocolind cu totul Politica de schimbare a parolei.

trebuie luate în considerare și aspectele umane ale parolelor. Spre deosebire de computere, utilizatorii umani nu pot șterge o memorie și o pot înlocui cu alta. În consecință, schimbarea frecventă a unei parole memorate este o presiune asupra memoriei umane, iar majoritatea utilizatorilor recurg la alegerea unei parole relativ ușor de ghicit (vezi oboseala parolei). Utilizatorii sunt adesea sfătuiți să utilizeze dispozitive mnemonice pentru a-și aminti parolele complexe. Cu toate acestea, dacă parola trebuie schimbată în mod repetat, Mnemonicele sunt inutile, deoarece utilizatorul nu și-ar aminti ce mnemonic să folosească. Mai mult, utilizarea mnemonicelor (care duc la parole precum „2BOrNot2B”) face parola mai ușor de ghicit.

factorii administrativi pot fi, de asemenea, o problemă. Utilizatorii au uneori dispozitive mai vechi care necesită o parolă care a fost utilizată înainte de expirarea duratei parolei. Pentru a gestiona aceste dispozitive mai vechi, este posibil ca utilizatorii să fie nevoiți să recurgă la scrierea tuturor parolelor vechi în cazul în care trebuie să se conecteze la un dispozitiv mai vechi.

solicitarea unei parole foarte puternice și care nu necesită schimbarea acesteia este adesea mai bună. Cu toate acestea, această abordare are un dezavantaj major: dacă o persoană neautorizată dobândește o parolă și o folosește fără a fi detectată, acea persoană poate avea acces pe o perioadă nedeterminată.

este necesar să se cântărească acești factori: probabilitatea ca cineva să ghicească o parolă pentru că este slabă, față de probabilitatea ca cineva să reușească să fure sau să dobândească altfel fără să ghicească o parolă mai puternică.

Bruce Schneier susține că „aproape orice lucru care poate fi amintit poate fi spart” și recomandă o schemă care folosește parole care nu vor apărea în niciun dicționar.

SanctionEdit

politicile de parolă pot include sancțiuni progresive începând cu avertismente și terminând cu posibila pierdere a privilegiilor computerului sau încetarea jobului. În cazul în care confidențialitatea este impusă prin lege, de ex. cu informații clasificate, o încălcare a politicii de parolă ar putea fi o infracțiune. Unii consideră că o explicație convingătoare a importanței securității este mai eficientă decât amenințările cu sancțiuni.

Lasă un răspuns

Adresa ta de email nu va fi publicată.