Otras estrategias no solo serían difíciles de implementar, sino que podrían ser contrarias a la intención del NIST 800-63b. Afortunadamente, existen varias soluciones de listas negras, por lo que probablemente no necesite (o no desee) otra estrategia .
Aquí está mi razonamiento.
Primero, para resumir de la sección 5.1, 800-63b, la parte sobre los verificadores (como las contraseñas) que son directamente aplicables para verificar la calidad de la contraseña del usuario.
Requerido:
En mi lectura, la intención de la sección 5.1 de 800-63b parece ser:
Si esto no es posible a través de la interfaz de cambio de contraseña directamente, otras estrategias requerirían la imposición de esos objetivos a través de la política humana. Esto requeriría:
Una forma separada para que los usuarios busquen contraseñas en la lista negra . Dado que la interfaz de cambio de contraseña de Windows está dedicada y aislada por diseño, proporcionar una manera digital de hacerlo sería complicado (¡y en cambio, imprimir un libro sería una pesadilla de usabilidad y mantenimiento!)
Una forma de auditar el cumplimiento después del hecho (descifrando las contraseñas usando la lista negra como un diccionario). Debería estar haciendo esto de todos modos ... pero en este caso, creo que anula el propósito de la guía NIST (para garantizar que las contraseñas en la lista negra nunca se usen en primer lugar )
Afortunadamente, no necesita otra estrategia, si solo necesita hacer lo siguiente:
-
Verificar longitud mínima. Los requisitos de complejidad de AD de stock ya lo permiten.
-
Implementar listas negras. Existen soluciones comerciales (Anixis, etc.) y FOSS ( enlace ).
En otras palabras, las estrategias alternativas no solo no son necesarias, sino que serían poco prácticas, proporcionarían una experiencia de usuario difícil ... y podrían no ser conformes de forma defendible .