¿Cómo puedo escribir una buena política de contraseña corporativa?

En mi opinión, los criterios de una política deben ser explícitos, mínimos y exigibles. "No utilice palabras del diccionario", pertenece a un documento de mejores prácticas o a la capacitación sobre concienciación de seguridad corporativa, no a la política.

La política debe especificar cosas como la longitud mínima, los criterios de complejidad, la edad máxima (y mínima) para cada categoría de contraseña. Es una práctica común requerir contraseñas más largas para cuentas con privilegios elevados.

Basado en el rendimiento actual de craqueo de hash de GPU, 10 caracteres elegidos de 96 (superior, inferior, dígitos, espacio especial incluido) es la longitud mínima que debe considerarse y 12 sería una opción mucho más segura. Ha habido mucha discusión en los últimos años sobre el valor real de los frecuentes cambios de contraseña. Una de las desventajas a considerar es la mala conducta inducida. Si los usuarios no pueden recordar su contraseña porque se cambia cada mes, la escribirán o usarán contraseñas adivinables y socavarán el control.

Le recomiendo encarecidamente la adopción de soluciones de autenticación de dos factores, autenticación basada en riesgos y administración de acceso privilegiado.

Ya hay algunas opciones enumeradas que resaltan la solución desde un punto de vista administrativo. Me parece que una mezcla de controles de gestión y controles técnicos son efectivos. Confiar en uno solo está condenado al fracaso.

Desde un enfoque técnico, puede controlar algunos de los requisitos a través de la política de grupo de Windows. Desde la Política de grupo, puedes controlar:

• Número de contraseñas anteriores recordadas
• Edad mínima de la contraseña
• Edad máxima de la contraseña
• Longitud mínima de la contraseña
• Si la contraseña debe cumplir con un requisito de complejidad

Con el requisito de complejidad habilitado, se requieren los siguientes 3 de 4:

  

• caracteres en mayúscula en inglés (de la A a la Z).
  
• caracteres en minúsculas en inglés (de la A a la Z).
  
• Base-10 dígitos (0 a 9).
  
• No alfanumérico (por ejemplo,!, $, #,%). ASCII extendido, caracteres simbólicos o lingüísticos.
  

Configuración de la complejidad de la contraseña de Microsoft

También se formuló una pregunta sobre las contraseñas del Diccionario en SuperUser . Parece que hay una solución para controlar eso también.

Bueno, hay una forma fácil de verificar las contraseñas en el momento de la creación con un programa o algoritmo. Sin embargo, esto no es infalible, ya que algunos todavía pueden caer a través de las grietas (la expresión regular es sorprendentemente difícil).

La verdad de las mejores contraseñas es que pueden estar BASADAS en palabras, pero no deben contener palabras COMPLETAS . Estas palabras DEBEN se dividen con una diferencia de conjunto de caracteres (símbolo, número, combinación de los dos, cambio de caso, etc.), con más de 12 dígitos y no contienen ninguna base de información de identificación personal ( sin cumpleaños, sin partes de nombres, sin nombres propios o de miembros de la familia, etc.).

Un gran ejemplo: R4nD0mBa7te12rysT @ p1e

largo, difícil de descifrar y fácil de recordar: es una grapa de batería aleatoria. buena suerte reconociéndolo en el primer intento.

Recuerde, una contraseña es solo una parte de la seguridad cibernética. En este nivel con este tipo de datos confidenciales, también debe tener implementados otros métodos de protección (factor 2, RADIUS, otras cosas similares ...)