web-dev-qa-db-ja.com

セキュリティポリシーと実際の実装の課題のバランスをとるにはどうすればよいですか。

私たちの組織では、次のような頻繁なインシデントに遭遇しました。

  1. 成功したパスワード推測攻撃の報告

  2. 頻繁なパスワードリセットの苦情

私たちの練習の原因と欠陥を特定するための調査を開始しました。パスワードポリシーは以下の通りです

パスワードは8文字以上で、英数字と特殊文字を組み合わせたもので、有効期限は60日です。 3つの連続した変更に対してパスワードを繰り返す必要はありません。

私たちのパスワードポリシーに関するユーザーからのフィードバックのほとんどは否定的であり、不満は、パスワードを思い出すことが困難であり、多くの場合、ポリシーを満たすために単純なパスワードを使用するというものでした。

使用されているパスワードの強度を特定するために、内部(個人)調査を実施しました。結果は、ユーザーが60日ごとにパスワードを変更する必要があるため、いくつかの一般的な単語がさまざまな組み合わせで使用されていたことを示しています。

たとえば、namehomeofficeなどの繰り返される単語を含むパスワード。ほとんどの組織にはこれらのポリシーがあり、ほとんどの標準で推奨されています(PCI- DSSなど)ですが、コントロールと実際の適用性との間のバランスを実際に実現するものはありません。

したがって、そのようなポリシー/コントロールの実際の結果は、望ましい結果を達成していません。

主な懸念は、これらのポリシー(この場合はパスワードポリシー)と実際の実装の課題との間でどのようにバランスを取るかです。

27
Sayan

この質問は技術的なものではなく、人間の行動に関するものなので、の答えは得られません。あなたが言うことは非常に典型的ですが、私は同じ経験をしました。

複雑なパスワードルールは通常、より安全なパスワードにつながりません。本当に重要なのは、最小の長さと、最もよく使用されるパスワードのリストに対するチェックだけです。人々は大量の強力なパスワードを思い出すことができず、そのような規則は適切なパスワードスキームを妨害することさえあります。人々はそのようなルールを回避するために非常に独創的になることができます。ほとんどのルールを満たしている「Password-2018」のような弱いパスワードを使用する。多くの場合、強力なパスワードではなく、弱いパスワードを使用します。

同じことがパスワード変更ルールにも当てはまり、増加する数字または当月をパスワードに追加することは非常に一般的です。

最近、NISTは 公式論文 (10.2.1章を参照)を発行し、そのようなルールや以前の推奨事項に反対するアドバイスを行っています。

編集した質問に答えてみてください:

  1. シングルサインオンまたは OAuth2 のいずれかを使用して、認証を委任することができます。これにより、パスワードを削減できます。ユーザーは覚えておく必要があります(複数のサービスで同じパスワード)。
  2. password-managerを推奨することができます。ログインページにある優れたツールへのリンクは、問題にはなりません。
  3. パスワードフレーズを使用できます。ログインページに面白い例を挙げてみませんか。「起きるのが遅すぎるまで寝るのが好きです。」これは認識を高め、ユーザーにパスフレーズがいかに簡単(そしてモバイルフレンドリー)かを示します。この正確な例を必ず拒否してください。
42
martinstoeckli

最善の解決策は、ユーザーベースにパスフレーズを使用するようにトレーニングすることです。

パスフレーズは覚えやすく、入力も簡単で、解読も困難です。また、@ martinstoeckliが言及したNISTルールは、パスフレーズに対応するように設計されています。

少なくとも20,000語程度の辞書から抽出された5つのランダムな単語は、良い中間点になります。

Stanford's のような資料を使用して、トレーニングが重要になります。

パスフレーズを生成してそれらに提案する方法を作成することもできます。ユーザーベースが開始点として使用する ae7.st/g または rempe.us/diceware の単純化されたプライベートインスタンスを作成するのは比較的簡単です。これらは完全にクライアント側で実行されるため、パスワードをリモートで収集することはできません。

[編集:はい、私はパスワードマネージャの大ファンでもあります。しかし、最初の質問は、企業内のパスワードリセットヘルプデスクへの問い合わせに焦点を当てています。これは、ほぼ間違いなくADパスワードを意味します。これは、通常、記憶する必要がある「フロントエンド」パスワードの1つです。]

14
Royce Williams

組織の全員が適切なパスワードマネージャーを使用できるように支援します。 (私は非常に優れたパスワードマネージャーの作成者のために働いていることを開示する必要があります。)

真剣に、あなたはパスワード管理の問題を抱えており、組織内でパスワードマネージャを使用することは、それに対処するための最善の方法です。これは、パスワードマネージャが対処するために設計されたものです。

コメントへの対応

私のかなり手に負えない回答に対して、多くの優れたコメントがありました。だから、ここで実際の努力をしなければならないようです。

議論すべき2つの質問があります。

パスワードマネージャーのパスワードを忘れた

パスワードマネージャはallパスワードを覚える必要をなくしませんが、確かに役立ちます。元の質問が、組織のワークステーション/ AD/LDAPユーザーパスワードに焦点を当てていたか、その他のパスワードに焦点を当てていたかは、私には完全に明確ではありませんでした。

パスワードマネージャーの使用に関する1つのことは、通常は1日に数回パスワードを入力する必要があることです。ですから、しばらくすると、人々はそれをよく学びます。

特に1Passwordに関して言えば、私たちは誰の秘密も知ることができないように設定されていますが、組織内の特定の個人が回復を実行する権限を与えられる可能性があります。管理者にとってこれがどのように見えるかについては、ドキュメントを参照するか、すべてが裏側でどのように機能するかの詳細については、セキュリティホワイトペーパーを参照してください。

ワークステーションログイン

もちろん、ログインできないシステムでパスワードマネージャを実行することはできません。ただし、組織のポリシーによっては、パスワードマネージャーをユーザーの電話で実行することもできます。

私はこれにいくつかの異論があることを理解していますが、組織の利益のために、人々のサインオンパスワードがHTTPのみで使用されるものではないことを考慮してくださいMyKittyPictures.orgこれは10年以内に更新されていないWordpressのバージョンに基づいて構築されています。そのため、自宅や職場でパスワードマネージャーを使用する必要があります。

繰り返しになりますが、1Password(および私たちの競争のいくつか)は、個別のアカウントを管理する方法を許可しているため、望まない場所に漏洩する職場の秘密を見つけることができません。これを売り込みにしたくはありませんでしたが、さまざまな組織のセキュリティニーズに対応できるように設定する方法があります。

固有のパスワードにより、強制ローテーションの必要性が減少します

(パスワードのローテーションを強制すると、人々がパスワードを忘れたり、安っぽいものを使用したりするため、これは重要です。)

強制的なパスワードのローテーションは、通常、害を及ぼします。彼らが行う "良い"のいくつかは、人々が複数のサービスで同じパスワードを再利用する傾向があるため、同じパスワードを使用するすべてのものが危険にさらされると脆弱になります。

ユーザーにパスワードマネージャーを使用させることで、パスワードを再利用する必要がなくなります。

生成されたパスワードでは、複雑さのルールは必要ありません。

パスワードの複雑さのルールは、害を及ぼす場合もあれば、害を及ぼす場合もあり、覚えにくいパスワードにつながる可能性があります。 1Passwordは人々を非常に強力であるが使いやすいマスターパスワードに向けて動かします。

繰り返しますが、これをセールスピッチに変えるつもりはありません。私たちが提供するものを見て(特定の組織のニーズについて話してください)、他の人も見てください。私はそれほど謙虚な意見ではないが、私は最高ですが、私の全体的なポイントは、パスワードの問題の多くはパスワードマネージャーを使用して対処できるということです。そしてそれはあなたの人々をより安全な習慣に従事させるでしょう。パスワードマネージャーは、セキュリティの向上とユーザーにとってのライフイージー化の両方を享受できます。

11

...そのようなポリシー/コントロールの実際の結果は、望ましい結果を達成していません。

丁度。あなたはそれを特定しました。

1。パスワードポリシーを確認します。何を保護しているのか、攻撃者がパスワードを見つけた場合にどのような結果になるのかを検討します。パスワードが駐車スロットへのアクセスのみを与える場合、それはそれほど有害ではなく、かなり単純なパスワードで十分です。結果によっては、ポリシーがより深刻になる場合があり、場合によってはパスワードが不十分であり、スマートカードやUSBパスワードマネージャーなどのハードウェアソリューションが必要になることがあります。

2。パスワードマネージャーを使用します。ユーザーは1つのパスワードのみを覚える必要があります。 システムログイン(Windows、Linuxなど)の場合、このシステムではパスワードマネージャーを使用できませんが、スマートフォンではPWマネージャーを使用できます(会社によって提供および設定され、セキュリティポリシー)

。2要素認証を使用します。たとえば、パスワードとSMSです。長所:パスワードはもっと簡単にできます。反対:SMSからのコードをログインダイアログに恒久的に入力する必要があるため、ユーザーは不満を言うかもしれません。イントラネットまたはオフィスとリモートアクセス専用の2要素、またはユーザーが自分のPCからではなくログインしている場合。

4。パスワードのリセットを自動化します。ユーザーにパスワードを自動的にリセットできるようにします。メールまたはSMS経由。

9
mentallurg

最も関連性の高いポイントは他の投稿で行われました。強調したいだけ

  1. ユーザーが適切なパスワードを選択して保持できるようにすることは、ほとんどの場合定期的にパスワードを変更するように強制するよりも優れたセキュリティバーゲンです。

  2. 単純な計算は、複雑な要件を1つまたは2つの文字と交換できることを示しています。つまり、「通常の」文字/数字/特殊文字と最小長8を要求する代わりに、10文字を要求するだけです。

  3. 特殊文字のような要件は実際にはweaken passwordsです。これは、ユーザーがランダムな位置でそのような文字をランダムに選択しないためです。rockyouのパスワードリストを見て、「! 」または「。」。したがって、それはかなり予測可能です。実際、複雑さがセキュリティ(より正確にはエントロピー)を向上させる理由は、ユーザーが1D>u&b8H6mp{:2tLなどのパスワードではなく、g0tch4!!または#1Hottieなどのパスワードを選択するという仮定に基づいています。

  4. 複雑さが必要な場合は、正しい方法で行います。mからn 異なる文字(たとえば、12以上のうち少なくとも8文字)を要求し、123456qwertyなどのパターンを拒否します。これは完璧ではありませんが、最悪の種類のジャンクをすぐに取り除きます。

  5. さらに良いことに、ユーザーにパスフレーズの使用を勧めます。

  6. Randall Munroeが4つ(またはそれ以上)のランダムな単語を選択するという考えに基づくパスワードサジェストも見ました。

最後に、セキュリティが本当にそのような懸念事項である場合、パスワードは認証の正しい選択ではない可能性があります。 2FAまたは公開鍵ベースの認証は、(明らかにより高価な)適切なソリューションかもしれません。しかし、経営者がこの方針をそのまま主張するのであれば、彼らは単にその結果を受け入れなければなりません。

6
countermode

私の会社では、会社全体で主に2つのルールがあります。

  • ストアは「メモリ内」にあるか、個人のマスターパスワードを使用して特定のpassword managerにあります。 (この場合はKeePass)
  • パスワードの複雑さは少なくとも最小の長さで、次のうち3つを満たす必要があります:
    • 数字
    • 「スペシャルキャラクター」
    • 小文字
    • 大文字

新入社員はこれらのルールを理解し、必要に応じてトレーニングを受けます。

ここでの鍵は、パスワードマネージャーの適用とサポートです。実際には、これにより、ランダムで長く安全に保存されたパスワードが生成されます。

唯一の例外は、顧客が自分のシステムへのパスワードの異なる処理を明示的に必要とする場合であり、プロジェクトのマネージャーによる承認が必要です。

4
nulldev

私はこの正確な主題について2、3の話をしたので、頭の中に多くの情報があり、いくつかの重要なポイントにそれを取り込めることを願っています。

  1. あなたの実際の脅威は何ですか?パスワードの複雑さのルールのほとんどは古く、見当違いであり、ブルートフォースが主な脅威であると想定しています。トピックについて少し考えると、ほぼ間違いなく、そうではないと結論に至るでしょう。設定の90%でブルートフォースが可能な場合は、ソフトウェアが壊れていますです。

  2. ユーザーは常にパスワードポリシーを最も簡単に解釈できる方法で解釈します。これは、パスワードポリシーを知っている攻撃者が実際に劇的に縮小サーチスペースを持っているという意図しない結果をもたらします。たとえば、数値が必要な場合、大多数のユーザーは数値を最後に配置し、少数を最初に配置します。ごくわずかな複雑さの見積もりで想定されている方法でWord内に数値を混在させることはほとんどありません。

  3. 「特殊文字と数字、大文字と小文字」のルールを廃止。彼らはまったくナンセンスです。これらのルールは実際にいくつかの攻撃を行いますより簡単

  4. 長いパスワードを適用します。最小8文字、より良い12。パスワードが十分に長い場合、覚えやすいものになる可能性があります。これは、1つの単語、単語のバリエーション、または単語の混合です。ほとんどの言語で意味のない単語を作成するのは簡単です。たとえば、その最後の文からの「nonmost wordages」。これらは覚えるのがかなり簡単で、正しくタイプするのがかなり速いです。 (4つほどの単語の一部を混ぜることは、そのトピックに対する有名なxkcd回答の私のお気に入りのバリエーションです。素晴らしいですが、パスワードが長すぎて通常のユーザーが入力できないため、ほとんどのユーザーはタイプをタッチできません。 )

  5. 人々が入力するパスワードをブラックリストに照らしてチェックし、「パスワード」および上位100かそこらのリストにあるものは受け入れられないことを確認します。自分の名前をいくつか追加します(例:会社名または会社名+現在の年)

  6. 脅威についての考えに戻り、これらに追加してくださいgenericは、脅威に固有のヒントを示します。たとえば、パスワードデータベースが盗まれる可能性があるという合理的な脅威がある場合、ブルートフォースが実際に行われる唯一のシナリオがあり、サーチスペースについて考える必要があります。適切なハッシュを使用していることを確認した後、塩とコショウ。また、データベースをより安全にすることは、何千人もの人々が何十年もの間それらを強制しようとして失敗したことを強制することよりも簡単で効果的でしょうか? -ただし、ショルダーサーフィンが深刻な脅威であると特定した場合は、間違いなくnotパスワードを複雑にする必要があります。9[〜K> '?+ D * kgの方が入力よりもはるかに遅いためです。 「ほとんどない語彙」、ただしそれらは同じ複雑さ(10 ^ 22のオーダー)を持っています。

社内の他の人を説得するためにデータや調査が必要な場合は、一言お願いします。

2
Tom

ユーザーをいらいらさせているのは厳格なポリシーであり、多くの強力なパスワードを防ぎ、弱いパスワードは許可します

パスワードポリシーは強力です。「パスワードは、英数字と特殊文字を組み合わせた8文字以上で、有効期限は60日です。 3回連続してパスワードを繰り返す必要はありません。」.

「パスワード1」は、大文字が1文字、長さが10文字で、特殊文字が含まれているため、安全だと思います。 「グリーンホースプレジデントバター」は許可されていませんが、推測やブルートフォースがはるかに長く困難です。

パスワードの有効期限は、 現代のパスワードのガイドライン が推奨するもう1つのことです。ルールで別のパスワードを選択させて、「パスワード-2」を選択します。

個人的には、長いパスワードを要求することでこれを解決します。 20文字以上にする必要がある場合、「Password-123」は機能せず、クリエイティブになります。または、パスワードマネージャーの使用を開始します。単純なブルートフォースでは、このような長いパスワードを使用することはできません。あまりよくないパスワードをワードリストから簡単に作成できない可能性があります。

1
allo

私の修士論文は情報セキュリティと人間がいかに最も弱いリンクであるかについてでした。パスワード規則を難しくしすぎると、ユーザーはパスワードを付箋に書き留めてコンピューターに添付するため、ここであなたの痛みを感じます。

私の会社には、複雑さを維持するのに役立ついくつかの追加ルールがあります。

  1. パスフレーズの70%は異なる必要があります。これにより、人々はpassword1、次にpassword2、次にpassword3
  2. パスワードに辞書に載っている単語を含めることはできません。これにより、リートスペルや類似の回避策を使用する必要があります。
  3. パスワードを一般的なパスフレーズにすることはできません。これにより、システムのパスフレーズをサンプリングして、複数の人が同じパスワードを使用するのを防ぐことができます。

パスワードはセキュリティの錯覚よりもほんの少しだけ優れているため、別の種類の認証を追加することをお勧めします。

認証には次の3つのタイプがあります。

  1. 知っているもの(パスコードやパスフレーズなど)
  2. 持っているもの(トークンやアクセスカードなど)
  3. あなたが何か(指紋やその他の生体認証など)

パスワードを2および3と組み合わせて使用​​する場合、パスコードの複雑さはそれほど重要ではなく、ピン番号に削減されることがよくあります。

残念ながら、システムが真にランダムなパスワードを強制する唯一の方法は、システムがユーザーのためにパスワードを生成することです...しかし、その後、それらが書き留められることをほぼ保証できます。

0
Jeff Elliott

哲学的に言えば、人々は異なって固執する傾向がある2つの主要な力があります。最初のカテゴリーは自由です。強制に対する信念、義務に対する選択、執行に対する道徳です。 2番目のカテゴリは、自由の逆であるパワーです。これらの根本的な違いは、政治運動において、国家運動(社会主義、ナショナリズム)対自由運動(自由主義)の問題として最もよく見ることができます。

現在、歴史は暴力、威圧、統制の使用があらゆる面でより悪い結果をもたらし、共産主義とファシズムがその顕現の頂点にあることを明らかに示しています。一方、資本主義(私たちが現在約50%を占めています)は富の不平等を引き起こした可能性がありますが、ポジティブな方法でeverybodyが(生活水準を上げることにより)裕福になり、そして信じられないほど裕福になるために最も価値を提供する人。意味:貧しい人々(最も)でさえ、その恩恵を受けます。一方、総資産の平等を強制すると、誰もが貧しくなり、多くの人々が飢えます(もちろん、それを引き起こした人々は飢えません)。

したがって、このトピックに戻るには、肯定的な目標(より優れたパスワード保護)がある場合は常に、強制的に人々の自由を台無しにしようとする(特定のパスワードルールを強制する)と、目標の低下を目の当たりにすることができます。反対に到達する。

実行可能な1つの方法は、より良いパスワード保護を提唱し、パスワードの脆弱性について警告することだと思います。それを解読するのに必要な推定期間を彼らに示すかもしれません。複数の単語を使用するように伝えます(これが最良の方法のようです)。しかし、2秒で解読できるパスワードが必要な場合は、それを選択します。

私の意見では、情報(および警告)を提供することは、単にパスワードルールを強制することよりも優れています。あなたが説明したように、それが起こるので、人々は悩まされ、問題を解決する最も簡単な方法を見つけようとします。 9文字を強制すると、多くの9文字のパスワードが生成されますが、特定のパスワードが2秒で解読される可能性があることを伝えると、特に重要度の高いものについては、強制する最小値よりも優れたものを使用するように動機付けられる場合があります。 。

加えて、多くの特別なルール(1+の大文字や1+の特殊記号のように、多くの場合あまり意味がありません)は、パスワードがまだない場合、パスワードを覚えるのをはるかに難しくします。したがって、問題になるのはユーザーの「愚かさ」だけではなく、「力」による制御の試みです。

0
Battle