web-dev-qa-db-ja.com

現在それを気にしていない組織で、良いパスワード慣行を促進するにはどうすればよいですか?

デフォルトのユーザーアカウント、デフォルトのパスワード(またはユーザーアカウントと同じパスワード)の使用、ユーザー間でのパスワード情報の共有など、非常に貧弱な慣行を使用している組織で働いています。

私はcodebase/ectのmy partsを安全に保つように努めましたが、myプログラムは適切なデータベースログインと権限を使用し、強力なパスワードなどを使用します。しかし、私のプログラムは、より大きな組織の欠陥に対して脆弱です。たとえば、誰かが特定のアカウント情報を入手できる場合、私のアプリケーションのセキュリティは無意味です。

この会社のセキュリティ慣行を変更するためにあちこちで手助けできますか、それとも「最も弱いリンク」のために私の努力は運命づけられますか?ほとんどの場合、私のセキュリティ慣行は彼らのそれと同じくらい安全です。

passwordspassword-policyuser-educationbusiness-risk
10
Ben Brocka

私は最近 Ross Anderson によって書かれたこの記事に出くわしました。不正なパスワードがどれだけ早く解読される可能性があるかを同僚に指摘することは別として、彼らの調査がパスワードのいくつかの良いルールを人々に思い出させ、パスワードの選択への基本的な誘導をすることでいくつかの利点を示したことは注目に値します。

http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-500.pdf

可能であれば、なぜ人がデフォルトのパスワードまたは共有アカウントを選択しているかを探し、これを回避する方法があるかどうかを確認します。複数のサーバーにsshして、一部のサポートスタッフが同じことを行えるようにする例を考えてみましょう。誰もが知っている単一のパスワードを用意するのではなく、ここでキーを使用して、何も覚えておく必要がないようにすることができます。キーでログインするだけです。キーを取り消す必要がある場合は、サーバーから削除してください(これは明らかに単なる例です)。

教育は重要であり、人々が依然として簡単に仕事を続けることができることを保証します。全員に長さ16以上のパスワードを選択するよう要求するだけで、複数のケースと特別な文字を1日25回以上入力する必要がありますが、これは許容できる解決策ではありません。彼らは単にそれを行わず、より簡単なので、他の場所で使用する6文字のパスワードを使用するようにフォールバックします。

9
webtoe

セキュリティポリシーがあるかどうかを尋ねます。そうでない場合は、誰かが作成の責任を負うかどうかを調べます。そうでない場合...このようなポリシーを提案することを検討してください、しかしそれを微調整してください...それはいくつかの問題を抱えています: http://www.sans.org/security-resources/policies/Password_Policy.pdf =

ポリシーがPCIなどの既存のポリシーと競合する場合は、より強力なポリシーが優先されることに注意してください。質問向けの通知、例外処理、日付付きのバージョン管理などのレビュー条項(毎年など)を追加します。質問がある場合は、年次総会に出席するよう提案してください。

発表とレビューの期間、たとえば3か月でそれを紹介します。フィードバックを許可します。最初の会議を開きます。それを経営陣に渡し、うまくいけばポリシーを宣言してもらいます。

次に、チームがパスワードを管理するためのプロセスを開発します。他のチームがポリシーに準拠したプロセスを作成するためのガイドラインとしてプロセスを提案します。

配置したら、パスワードの強度を監査するツールを検討します。

編集:ところで、私はこれについて@webtoeに同意します。これは、SANSのような古いパスワードポリシーを調整する必要があるIMHOの領域です。たとえば、8文字、大文字と小文字の混在、英数字、特殊文字、辞書の単語なし、盲目的に30日間のパスワード変更ポリシーが必要、sshからrootへのアクセスを禁止、パスワードの書き込みを要求しないなどは、問題を引き起こしているだけです。 OTOH、柔軟性を付けすぎると、だらしがなくなります。パスワード管理のあらゆる側面には根拠が必要であり、それに挑戦することができるはずです。

私が遭遇した最も愚かなパスワードポリシーの1つは、パスワードの強度をチェックするツールを使用した自動スキャンを必要としました。 SSHの自動化IDが繰り返しヒットしました。パスワード認証が無効になっており、公開鍵/秘密鍵のみが許可されていたためです。残念ながら、これは私が90日ごとにランダムなパスワードを作成するためにcronジョブを作成しなければならなかったことを意味しました。それはそれを伝えませんが、ポリシーはソリューションのセキュリティを効果的に減らしました。

2
mgjk

しないでください。 SSOを使用: https://en.wikipedia.org/wiki/Security_token

人々が自分の活動に直接関係のない何かを覚えておく必要がある場合、彼らはそれを書き留めるか、すべてのために単一の弱くて簡単なパスワードを使用します。 「!@#aa $ ogh443 \」のような適切なパスワードを選択するように強制すると、彼らを狂わせるだけです。セキュリティを気にするのがあなたの仕事なら、人も気にする。覚えにくいパスワードは、キーボードの隣のメモに書かれた44文字のパスワードよりも常に強力です。

彼らに認証トークンを渡します。彼らは常にそれを携帯する必要があるため、小さくて見栄えの良いものを選択してください;)すべてを機能させるには、背後で追加の作業が必要になる場合がありますが、不可能ではなく、最終的にはすべての標準化と管理が容易になります。

1
Aki