Aplicaciones prácticas de la nueva política de contraseñas de NIST

Navega tus respuestas
5

He preguntado anteriormente acerca de la aplicación de la Publicación Especial 800-63-3 del NIST (política de contraseñas). Política de contraseñas

Sin una forma sencilla de agregar una lista negra de contraseñas a AD, ¿cuáles son las estrategias comunes para implementar estas recomendaciones ( enlace ), en el mundo real? Estoy tratando de volver a escribir la política de contraseña interna, pero sin esto (lo que parece ser una parte integral) no estoy seguro de si una política híbrida sería mejor.

    
pregunta Chri3 01.09.2017 - 11:23
fuente

1 respuesta

3

Otras estrategias no solo serían difíciles de implementar, sino que podrían ser contrarias a la intención del NIST 800-63b. Afortunadamente, existen varias soluciones de listas negras, por lo que probablemente no necesite (o no desee) otra estrategia .

Aquí está mi razonamiento.

Primero, para resumir de la sección 5.1, 800-63b, la parte sobre los verificadores (como las contraseñas) que son directamente aplicables para verificar la calidad de la contraseña del usuario.

Requerido:

  • Los autenticadores (contraseñas) deben ser:
    • Mínimo 8 caracteres

  • Los autenticadores también compararon con la lista negra usando "valores conocidos por ser utilizados, esperados o comprometidos" (el núcleo de su pregunta): al menos uno de:

    • Contraseñas obtenidas de corpuses de infracciones anteriores
    • palabras del diccionario
    • Caracteres repetitivos o secuenciales (por ejemplo, "aaaaaa", "1234abcd")
    • Palabras específicas del contexto, como el nombre del servicio, el nombre de usuario y sus derivados
  • Si se encuentra en la lista negra:
    • avise al suscriptor que debe seleccionar un secreto diferente
    • indique el motivo del rechazo
    • requiere que el suscriptor elija un valor diferente

En mi lectura, la intención de la sección 5.1 de 800-63b parece ser:

  • Evita que los usuarios usen contraseñas de lista negra en primer lugar

  • capacite al usuario para comprender por qué las opciones de contraseña fueron malas

Si esto no es posible a través de la interfaz de cambio de contraseña directamente, otras estrategias requerirían la imposición de esos objetivos a través de la política humana. Esto requeriría:

  • Una forma separada para que los usuarios busquen contraseñas en la lista negra . Dado que la interfaz de cambio de contraseña de Windows está dedicada y aislada por diseño, proporcionar una manera digital de hacerlo sería complicado (¡y en cambio, imprimir un libro sería una pesadilla de usabilidad y mantenimiento!)

  • Una forma de auditar el cumplimiento después del hecho (descifrando las contraseñas usando la lista negra como un diccionario). Debería estar haciendo esto de todos modos ... pero en este caso, creo que anula el propósito de la guía NIST (para garantizar que las contraseñas en la lista negra nunca se usen en primer lugar )

Afortunadamente, no necesita otra estrategia, si solo necesita hacer lo siguiente:

  • Verificar longitud mínima. Los requisitos de complejidad de AD de stock ya lo permiten.

  • Implementar listas negras. Existen soluciones comerciales (Anixis, etc.) y FOSS ( enlace ).

En otras palabras, las estrategias alternativas no solo no son necesarias, sino que serían poco prácticas, proporcionarían una experiencia de usuario difícil ... y podrían no ser conformes de forma defendible .

    
respondido por el Royce Williams 01.09.2017 - 17:15
fuente

Lea otras preguntas en las etiquetas

Peligros de suscripción de correo electrónico de un solo paso Cómo omitir ASLR con ROP