組織のパスワードポリシーを決定する必要があります。
一般に、すべてのユーザーは、パスワードを変更する必要が生じるまで90日かかります。複雑さが必要であり、パスワードは8文字以上である必要があります。パスワードポリシーを決定するときに、すべてのユーザーに適用された1つ以上のパスワードポリシー用語でコンピューターチームを区別しましたか?
ポリシーには何を含める必要がありますか。ポリシーではいくつかのことを指定する必要があります。
パスワードの最小の長さ/強度。たとえば、パスワードを8文字以上にすることは理にかなっています。
パスワードの選択方法。パスワードを選択する良い方法について人々にアドバイスします。人々は強力なパスワードを選ぶのが苦手なので、パスワードポリシーはこれを行う方法についてのガイダンスを提供する必要があります。最善の解決策は、ランダムなパスワードを自動的に生成するツールを提供することです。または、ユーザーが自分で強力なパスワードを選択する方法を提案することもできます(たとえば、覚えやすく、他の人が使用する可能性が低い短いフレーズを選択します)。
パスワード処理。パスワードを他人と共有しないように人々に伝える必要があります。システム管理者がパスワードを要求することは決してないことを約束する必要があります。システム管理者や他のスタッフが誰かにパスワードを要求することを禁止する必要があります。違反に対するペナルティを指定する必要があります。
クリアテキストのパスワード。ポリシーでは、ネットワークを介したクリアテキストでのパスワードの送信を禁止することをお勧めします。つまり、ネットワークを介したクリアテキストでのパスワードの送信を回避するように内部サービスとアプリケーションを設計する必要があり、サービスとアプリケーション(telnetなど)を禁止する必要があります。 、非匿名ftp)は、暗号化されていないユーザーパスワードをネットワーク経由で送信します。ポリシーでは、必要に応じて、段階的導入期間と例外の承認を取得するためのプロセスを指定する場合があります。
ポリシーに含めるべきではないものユーザーに変更を要求しないすべきではない 90日ごとのパスワード 。これはお粗末な考えです。使い勝手が悪いです。そして、それはセキュリティを改善しません。それは、専門家でない人には表面的には良いように聞こえますが、実際には私が知っている重要な利点を追加しないものの1つです。特に、私が精通している現実的な脅威モデルに対する防御にはあまり役立ちません。運が良ければ、予測可能なパスワードのシーケンスを選択する可能性があります(例:xlkjsadf1
、xlkjsadf2
、xlkjsadf3
など)。運が悪ければ、パスワードをどこかに書き留めることを強制することで、セキュリティを悪化させる可能性があります(モニターに貼られた黄色の付箋が従来の方法です)。
考慮すべき可能性。状況によっては、次のことも考慮する必要があります。
パスワード以外の認証。パスワードは、ユーザー認証のすべてではありません。リスクの高いアクティビティ(たとえば、重要なマシンへのルート/管理者アクセス権を持つシステム管理者)の場合、RSASecurIDカードなどの他の形式の認証を要求することを検討できます。通常、パスワードよりも安全です。
パスワードエスクロー。従業員に会社にパスワードのコピーをエスクローするように要求したい場合があります。典型的なケースは、従業員が何らかの外部サービス(Amazon EC2など)にサインアップし、そのサービスのアカウントのユーザー名とパスワードを指定する必要があり、外部サービスが複数のユーザー名をリンクする方法を提供しない場合です。サービスを使用し、外部サービスが社内の複数の人々に依存または使用されている場合。その場合、アカウントを作成した従業員が退職すると、外部サービスのアカウントにアクセスできなくなる可能性があります。 1つの解決策は、従業員に、そのアカウント用に作成したパスワードを会社に預託するよう依頼することです。たとえば、封筒に入れ、封筒を封印し、フラップに署名して、上司などが管理する施錠された金庫に入れます。他の従業員。