Caducidad y cumplimiento de la contraseña (ISO, NIST, PCI, etc.)

4

Estoy bastante confundido acerca de cuál es el estado actual en 2017 para la idea de caducidad / rotación de la contraseña, especialmente relacionada con las certificaciones de seguridad como ISO, PCI, etc. Sigo leyendo que la caducidad de la contraseña no es muy útil , pero he encontrado varias diapositivas donde Todavía parece ser parte de las políticas / reglas (para ISO y PCI).

Hay una parte específica que me parece poco natural, y esto es (asumiendo que tiene una política de contraseña segura, que ya tenemos) la necesidad de almacenar los hashes de contraseña antiguos en su base de datos para evitar que los usuarios desde establecer una contraseña antigua cuando la actual caduca.

Siempre he asumido (erróneamente) que la caducidad se acercaba al problema utilizando un ángulo social, una forma de decirle a los usuarios que las contraseñas eran importantes. Por lo tanto, la nueva contraseña tenía que ser diferente de la actual, pero sin verificar históricamente los registros anteriores.

Tuve la intuición de que esto no era seguro, pero parece que las grandes corporaciones lo utilizan para proporcionar sugerencias de UI (aunque creo que es justo suponer que estas organizaciones pueden tener un mejor control de sus copias de seguridad que las pequeñas empresas, donde es más probable que se cometan errores). p>

He leído un artículo en el que parece que NIST ya no impondrá la caducidad de la contraseña. De todos modos, ahora que mi sistema tendrá la caducidad de la contraseña debido a los requisitos, pensé que tendría sentido unir, en cierta medida, los requisitos presentes en estas certificaciones.

  • ¿Cuál es el estado de caducidad / rotación de la contraseña en estas certificaciones (ISO, PCI, etc.) en 2017? ¿Sigue siendo parte de ellos?

  • ¿Destinan / mencionan un número / período de contraseñas antiguas que tienes que almacenar?

No tengo acceso a ninguna documentación original, ya que no estamos en ningún proceso de adopción, pero sería bueno saberlo incluso en términos generales.

    
pregunta IoChaos 07.06.2017 - 14:44
fuente

2 respuestas

8

La versión actual de PCI DSS es 3.2 , y en la sección 8.2.4 requiere Los usuarios cambian sus contraseñas cada 90 días. La Sección 8.2.5 requiere que las contraseñas no sean iguales a ninguna de las cuatro contraseñas anteriores (tenga en cuenta que no prescribe cómo se debe lograr esto; la norma no establece específicamente que el "almacenamiento de hashes" es obligatorio).

Sin embargo, este documento claramente no se basa en la seguridad de contraseñas del estado de la técnica porque la sección 8.2.3 del mismo documento requiere que las contraseñas tengan una "longitud mínima de al menos siete caracteres" e incluyan "tanto numérica como alfabética caracteres." Las computadoras modernas pueden ejecutar software de descifrado de contraseñas que forzará una contraseña alfanumérica de 7 caracteres en segundos. Solo por este requerimiento deficiente, es difícil creer que alguno de los consejos de seguridad de sus contraseñas se basa en la investigación, o incluso es útil.

Dicho esto, nuestro conocimiento de que este estándar no es lo suficientemente bueno no significa que podamos ignorarlo. Pase lo que pase, tenemos una política de rotación de 90 días, ya sea que ofrezca o no una defensa útil contra un atacante, o que exponga o no a nuestros usuarios a inconvenientes o riesgos adicionales, ya que estamos obligados por contrato a cumplir con el PCI normas En cambio, como somos conscientes de que el estándar es inadecuado a este respecto, lo que debemos hacer es implementar una política de seguridad responsable en nuestras organizaciones que resuelva los problemas conocidos (se requiere una contraseña de 14 caracteres que cumpla con la otra recomendaciones preliminares del NIST en 5.1.1.2, por ejemplo) que aún cumple con todos los requisitos del DSS. Tener una política de seguridad organizacional y seguirla es el Requisito 12 del DSS, y en realidad es muy bueno.

    
respondido por el John Deters 07.06.2017 - 15:20
fuente
2

Para responder primero a sus preguntas, desde una perspectiva ISO 27001, no prescribe cuál debe ser su duración de vencimiento, ni especifica cuántas contraseñas antiguas debe conservar.

En su lugar, proporciona directrices genéricas sobre la gestión de contraseñas. Por el bien del cumplimiento y amp; para satisfacer a los auditores, es mejor tener una duración de caducidad de la contraseña de no más de 90 días, & retener al menos las últimas 2 contraseñas para evitar su reutilización.

ISO 27k1 menciona explícitamente que deberíamos " mantener un registro de las Contraseñas utilizadas anteriormente y evitar la reutilización ", pero no especifica cuántos de ellos deben conservarse.

Control total & La implementación menciona algo como esto.

  

Control A.9.4.3

     

El sistema de gestión de contraseñas será interactivo y garantizará contraseñas de calidad.

Según ISO 27001, un sistema de administración de contraseñas debería (con mis propios comentarios agregados).

  • mantenga la responsabilidad haciendo cumplir el uso de ID de usuario individuales y contraseñas.

  • Los usuarios deben poder seleccionar & cambie su contraseña cuando sea necesario, lo que básicamente significa que los usuarios tienen control sobre su contraseña.

  • incluya un procedimiento de confirmación para permitir errores de entrada en momentos en que los usuarios cometen un error al iniciar sesión.

  • imponga contraseñas de buena calidad, que idealmente deberían definirse en su Política de contraseñas & aplicado en su aplicación.

  • obliga a los usuarios a cambiar sus contraseñas cuando inician sesión por primera vez, sin lo cual es poco probable que los usuarios cambien su contraseña predeterminada. La actualización forzada de la contraseña se debe implementar cuando los administradores también la reinician.

  • impone cambios regulares a la Contraseña, que idealmente deberían ser de 90 días o menos. Los auditores parecen preferir 30 días, pero eso puede ser demasiado.

  • retiene las contraseñas utilizadas anteriormente y evita su reutilización, pero no se especifica cuántas contraseñas deben guardarse.

  • no muestra las contraseñas en la pantalla cuando se ingresa, lo cual es lógico.

  • almacene los datos de contraseña por separado de los datos del sistema de aplicación, aunque no estoy seguro de qué tan práctico es implementar esto desde el punto de vista de la arquitectura.

  • almacene y transmita contraseñas en forma protegida, como SSL para aplicaciones en línea.

respondido por el Shailendra Singh 07.06.2017 - 18:47
fuente

Lea otras preguntas en las etiquetas