¿Cómo lograr un equilibrio entre las políticas de seguridad y los desafíos de implementación práctica? [duplicar]

Navega tus respuestas
27

En nuestra organización, encontramos algunos incidentes frecuentes, tales como:

  1. Se informaron ataques de adivinación de contraseña exitosos

  2. Quejas frecuentes de restablecimiento de contraseña

Comenzamos una investigación para identificar las causas y las fallas en nuestra práctica. La política de contraseña es la siguiente

  

Las contraseñas deben tener un mínimo de 8 caracteres con una mezcla de   Caracteres alfanuméricos y especiales y 60 días de caducidad. No   Repetir contraseñas para 3 cambios consecutivos.

La mayoría de los comentarios de los usuarios sobre nuestra política de contraseñas fueron negativos y la queja fue que les resulta difícil recordar la contraseña y, a menudo, utilizan una sencilla para cumplir con la política.

Realizamos una encuesta interna (personal) para identificar qué tan seguras son las contraseñas que se utilizan; el resultado indica que se utilizaron varias palabras comunes en diferentes combinaciones, ya que los usuarios deben cambiar sus contraseñas cada 60 días.

Por ejemplo, contraseñas que contienen palabras repetidas como name , home , office , etc. Creo que la mayoría de las organizaciones tienen implementadas estas políticas y la mayoría de los estándares recomiendan estas (PCI-DSS, etc.) pero ninguna De ellos realmente logran el equilibrio entre los controles y la aplicabilidad práctica.

Por lo tanto, el resultado real de tales políticas / controles no está logrando el resultado deseado.

La principal preocupación es cómo lograr el equilibrio entre estas políticas (en este caso, la política de contraseñas) y los desafíos de implementación práctica.

    
pregunta Sayan 01.07.2018 - 11:19
fuente

10 respuestas

42

Dado que esta pregunta no es técnica, sino más bien sobre el comportamiento humano, no obtendrá la respuesta de . Sin embargo, lo que describiste es muy típico e hice la misma experiencia.

Las reglas de contraseña complejas generalmente no conducirán a contraseñas más seguras, lo que es realmente importante es solo una longitud mínima, y una verificación de una lista de las contraseñas más utilizadas. La gente no puede recordar toneladas de contraseñas seguras, y tales reglas pueden incluso interferir con los buenos esquemas de contraseñas. Las personas pueden ser muy inventivas para eludir tales reglas, por ejemplo, mediante el uso de contraseñas débiles como "Password-2018", que cumple con la mayoría de las reglas. A menudo terminas con contraseñas más débiles en lugar de contraseñas más fuertes.

Lo mismo se aplica a la regla de cambio de contraseña, es muy común agregar un número creciente o el mes actual a la contraseña.

Recientemente, el NIST publicó un documento oficial (consulte el capítulo 10.2.1), asesorando en contra de dichas reglas, y en contra de sus recomendaciones anteriores.

Un intento de responder a la pregunta editada:

  1. Podemos intentar delegar la autenticación , ya sea con el inicio de sesión único o con OAuth2 , de esta manera podemos reducir las contraseñas que un usuario tiene para recordar (la misma contraseña para múltiples servicios).
  2. Uno podría recomendar un administrador de contraseñas . Un enlace en la página de inicio de sesión a una buena herramienta no hará daño.
  3. Podríamos incluir frases de contraseña . Por qué no colocar un ejemplo divertido en la página de inicio de sesión: "Me gusta dormir hasta que es demasiado tarde para levantarme", esto crea conciencia y le muestra al usuario qué tan fáciles (y fáciles de usar) pueden ser las frases de contraseña. Solo asegúrate de rechazar este ejemplo exacto.
respondido por el martinstoeckli 01.07.2018 - 11:39
fuente
14

La mejor solución es capacitar a su base de usuarios para usar frases de contraseña .

Las frases de contraseña son más fáciles de recordar, más fáciles de escribir y más difíciles de descifrar. Y las reglas de NIST que se mencionaron en @martinstoeckli están diseñadas para ser fáciles de usar con frases de paso.

Cinco palabras aleatorias, extraídas de un diccionario de al menos 20,000 palabras más o menos, serían un buen término medio.

La capacitación será clave, utilizando materiales como Stanford's .

Incluso podría crear una forma de generar y sugerir frases de contraseña para ellos. Sería relativamente fácil crear una instancia privada simplificada de ae7.st/g o rempe.us/diceware para que su base de usuarios lo utilice como punto de partida. Estos se ejecutan completamente en el lado del cliente, por lo que las contraseñas no se pueden recopilar de forma remota.

[Editar: Sí, también soy un gran fanático de los administradores de contraseñas. Pero la pregunta original se centra en las llamadas al servicio de asistencia para restablecer la contraseña en la empresa, lo que casi con certeza significa que las contraseñas de AD, que son una de esas contraseñas "front-end" que generalmente deben memorizarse.]

    
respondido por el Royce Williams 01.07.2018 - 15:41
fuente
11

Ayude a todos en su organización a usar un buen administrador de contraseñas. (Debo revelar que trabajo para los creadores de un administrador de contraseñas muy fino).

En serio, tiene un problema de administración de contraseñas y usar un administrador de contraseñas dentro de su organización es la mejor manera de resolverlo. Esto es con lo que están diseñados los administradores de contraseñas.

Dirigiendo comentarios

Ha habido una serie de excelentes comentarios, mi respuesta más bien fuera de la mano. Así que parece que voy a tener que hacer un gran esfuerzo aquí.

Hay dos preguntas para discutir.

Olvidando la contraseña del administrador de contraseñas

Un administrador de contraseñas no elimina la necesidad de recordar todas las contraseñas, pero ciertamente ayuda. No me quedó completamente claro si la pregunta original se centró específicamente en la contraseña de usuario de la estación de trabajo / AD / LDAP para la organización u otras contraseñas también.

Una cosa sobre el uso del administrador de contraseñas es que normalmente necesita escribir su contraseña varias veces al día. Así que después de un corto tiempo, la gente lo aprende bien.

Y hablando específicamente de 1Password, tenemos las cosas configuradas para que sea imposible que aprendamos los secretos de alguien, pero es posible que ciertas personas dentro de una organización estén facultadas para realizar la recuperación. Consulte nuestra documentación para saber cómo se ve esto ante un administrador o nuestro documento de seguridad para obtener detalles precisos de cómo funciona todo entre bambalinas.

Inicio de sesión en la estación de trabajo

Por supuesto, no puede ejecutar su administrador de contraseñas en un sistema en el que no puede iniciar sesión. Pero dependiendo de las políticas de su organización, el administrador de contraseñas también puede ejecutarse en el teléfono de un usuario.

Entiendo que habrá algunas objeciones a esto, pero tenga en cuenta que a las organizaciones les interesa que el inicio de sesión de las personas con la contraseña no sea algo que también usen para HTTP solo MyKittyPictures.org , que se basa en una versión de Wordpress que no se ha actualizado en una década. Así que quiere que su gente use un administrador de contraseñas en el hogar y en el trabajo.

Nuevamente, 1Password (y parte de nuestra competencia) permite formas de administrar cuentas separadas, para que no encuentre secretos en el lugar de trabajo filtrando a lugares en los que no quiere. Realmente no quería convertir esto en un argumento de venta, pero hay formas de configurar las cosas que funcionan para las necesidades de seguridad de varias organizaciones.

Con contraseñas únicas, la necesidad de rotación forzada disminuye

(Esto es relevante porque la rotación forzada de contraseñas hace que las personas olviden las contraseñas o usen otras maliciosas).

Las rotaciones forzadas de contraseñas generalmente hacen más daño que beneficio. Algunos de los "buenos" que hacen son porque las personas tienden a reutilizar la misma contraseña en múltiples servicios, por lo que una vez que uno se ve comprometido, todo lo que utiliza esa misma contraseña es vulnerable.

Lograr que las personas utilicen un administrador de contraseñas ayuda a alejar a las personas de la reutilización de contraseñas.

Con las contraseñas generadas, las reglas de complejidad no son necesarias.

Las reglas de complejidad de la contraseña también pueden hacer más daño que bien, y ciertamente llevan a contraseñas que son difíciles de recordar. 1Password empuja a las personas hacia contraseñas maestras muy fuertes pero utilizables.

Una vez más, no estoy tratando de convertir esto en un argumento de venta. Mire lo que ofrecemos (háblenos sobre las necesidades de su organización específica), pero mire también a los demás. Somos los mejores, en mi opinión no tan humilde, pero mi punto principal es que muchos de sus problemas con las contraseñas pueden resolverse mediante el uso de un administrador de contraseñas. Y hará que su gente se involucre en hábitos más seguros. Un administrador de contraseñas disfruta del lugar feliz de aumentar la seguridad y hacer la vida más fácil para los usuarios.

    
respondido por el Jeffrey Goldberg 02.07.2018 - 04:07
fuente
9
  

... el resultado real de tales políticas / controles no está logrando el   resultado deseado.

Exactamente. Has identificado bien eso.

1. Revise su política de contraseñas. Considere qué protege exactamente y cuáles serían las consecuencias si un atacante descubre una contraseña. Si la contraseña le da solo acceso a su espacio de estacionamiento, no es tan dañino, una contraseña bastante simple será suficiente. Dependiendo de las consecuencias, la política puede ser más seria, en algunos casos la contraseña puede ser insuficiente y es posible que necesite soluciones de hardware como tarjetas inteligentes o administradores de contraseñas USB.

2. Use el administrador de contraseñas. Los usuarios tendrán que recordar solo una contraseña única. Para el inicio de sesión en el sistema (Windows, Linux, ...) obviamente no puede usar el administrador de contraseñas en este sistema, pero puede usar el administrador de PW en su teléfono inteligente (proporcionado y configurado por su compañía y que cumple con sus políticas de seguridad). / em>

3. Utilice la autenticación de 2 factores. Por ejemplo, contraseña más SMS. Pro: las contraseñas pueden ser más simples. Contra: Los usuarios pueden quejarse, ya que se verán obligados a ingresar permanentemente el código de SMS en el cuadro de diálogo de inicio de sesión. Aún puede hacerlo simple, si usa la autenticación de 1 factor en su intranet o en su oficina y el factor 2 solo para acceso remoto o cuando el usuario está iniciando sesión no desde su PC.

4. Automatice el restablecimiento de la contraseña. Brinda a tus usuarios la posibilidad de restablecer sus contraseñas automáticamente, por ejemplo. Por correo electrónico o SMS.

    
respondido por el mentallurg 01.07.2018 - 17:05
fuente
6

Los puntos más relevantes se hicieron en otras publicaciones. Solo quiero resaltar

  1. Permitir que los usuarios elijan y mantengan una buena contraseña es en la mayoría de las situaciones la mejor oferta de seguridad que obligarlos a cambiar su contraseña regularmente.

  2. Un cálculo simple muestra que los requisitos de complejidad elaborados pueden intercambiarse por uno o dos caracteres más, es decir, en lugar de requerir las letras / dígitos / caracteres especiales "habituales" y una longitud mínima de 8, solo solicite 10 caracteres.

  3. Los requisitos como caracteres especiales en realidad debilitan las contraseñas, ya que casi ningún usuario elige un carácter aleatorio de este tipo en una posición aleatoria. Solo eche un vistazo a la lista de contraseñas de rockyou y observe la cantidad de Contraseñas que terminan en "!" o ".". Entonces, eso es bastante predecible. De hecho, el razonamiento de que la complejidad mejora la seguridad (más precisamente: la entropía) se basa en el supuesto de que los usuarios eligen contraseñas como 1D>u&b8H o 6mp{:2tL en lugar de contraseñas como g0tch4!! o #1Hottie .

  4. Si desea complejidad, entonces hágalo de la manera correcta: pida n de m diferentes caracteres (por ejemplo, al menos 8 de 12 o más), y rechace patrones como 123456 o qwerty etc. Esto no es perfecto pero eliminará el peor tipo de basura de inmediato.

  5. Aún mejor, aliente a sus usuarios a usar frases de contraseña.

  6. También he visto sugerencias de contraseña basadas en la idea de Randall Munroe de elegir cuatro (o más) palabras al azar.

Finalmente, si la seguridad es realmente una preocupación, las contraseñas podrían no ser la opción correcta para la autenticación; La autenticación basada en la clave pública o 2FA puede ser la solución adecuada (sin duda más costosa). Sin embargo, si la administración insiste en la política tal como está, entonces simplemente tienen que vivir con los resultados.

    
respondido por el countermode 02.07.2018 - 15:46
fuente
4

En mi empresa tenemos principalmente 2 reglas, en toda la empresa:

  • La tienda está "en memoria" o en un administrador de contraseñas con una contraseña maestra personal. (KeePass en este caso)
  • La complejidad de la contraseña debe tener al menos una longitud mínima y cumplir con 3 de estos:
    • carácter numérico
    • "Carácter especial"
    • letra minúscula
    • Letra mayúscula

Los nuevos empleados conocen estas reglas y reciben capacitación según sea necesario.

La clave aquí es la aplicación y el soporte del administrador de contraseñas. En la práctica, esto conduce a contraseñas aleatorias, largas y almacenadas de manera segura.

La única excepción puede ser si un cliente requiere explícitamente un manejo diferente de las contraseñas de sus sistemas, que debe ser aprobado por el gerente del proyecto.

    
respondido por el nulldev 01.07.2018 - 23:52
fuente
2

He dado un par de charlas sobre este tema exacto, por lo que hay mucha información en mi cabeza y espero poder resumirla en algunos puntos vitales:

  1. ¿Cuáles son tus amenazas reales? La mayoría de las reglas de complejidad de las contraseñas son antiguas, están equivocadas y suponen que la fuerza principal es la fuerza bruta. Si piensa un poco sobre el tema, es casi seguro que llegará a la conclusión de que no lo es. En el 90% de las configuraciones, si es posible el uso de fuerza bruta, su software está roto .

  2. Los usuarios siempre interpretarán su política de contraseñas de la manera que sea más fácil para ellos. Esto tiene la consecuencia no deseada de que un atacante que conozca su política de contraseñas tenga un espacio de búsqueda enormemente reducido . Por ejemplo, si necesita números, la gran mayoría de los usuarios los colocarán al final, una minoría al principio y casi nadie los mezclará en la palabra de la forma en que se suponen las estimaciones de complejidad trivial.

  3. Deshazte de las reglas de "caracteres especiales y números y mayúsculas y minúsculas". Son un completo disparate. Estas reglas hacen que una serie de ataques sean más fáciles .

  4. Imponga contraseñas largas. 8 caracteres mínimo absoluto, mejor 12. Si la contraseña es lo suficientemente larga, puede ser memorable, puede ser una palabra o una variación o una combinación de palabras. Es fácil crear palabras sin sentido en la mayoría de los idiomas. Por ejemplo, "no más palabras" de esa última oración. Estos son razonablemente fáciles de recordar y razonablemente rápidos de escribir correctamente. (Mezclar partes de 4 o más palabras como esa es mi variación favorita en la famosa respuesta de xkcd a ese tema, lo cual es brillante, pero da como resultado contraseñas demasiado largas que los usuarios normales no escriben. )

  5. Verifique las contraseñas que las personas ingresan en una lista negra para asegurarse de que la "contraseña" y cualquier otra cosa en la lista de los 100 primeros no sea aceptable. Agregue un par de los suyos (por ejemplo, nombre de la empresa o nombre de la empresa + año actual)

  6. Vuelva a sus pensamientos acerca de las amenazas y agregue a estas genéricas sugerencias que son específicas de sus amenazas. Por ejemplo, si existe una amenaza razonable de que su base de datos de contraseña pueda ser robada, tiene el único escenario en el que la fuerza bruta es realmente una cosa, y necesita pensar en el espacio de búsqueda, después de asegurarse de que está usando buenos hashes, buena Sal y tal vez pimienta. Además, tal vez hacer que su base de datos sea más segura es más fácil y más efectivo que tratar de forzar a las personas a hacer algo que miles de personas han estado tratando de forzarlos durante décadas, sin éxito. - si, sin embargo, identifica la navegación de hombro como una amenaza seria, definitivamente no quiere complejidad en las contraseñas, porque 9 [~ K > '? + D * kg es mucho más lento de escribir que "no más palabras", mientras que tienen la misma complejidad (en el orden de 10 ^ 22).

Si necesita algunos datos e investigaciones para convencer a otros en su empresa, avíseme.

    
respondido por el Tom 02.07.2018 - 23:04
fuente
1

Lo que les molesta a los usuarios es la política estricta, que evita muchas contraseñas seguras y permite las débiles

  

La política de contraseñas es sólida con "Contraseñas tendrá un mínimo de   8 caracteres con una mezcla de caracteres alfanuméricos y especiales y 60   Días de expiración. No se repiten contraseñas por 3 veces consecutivas ".

"Contraseña-1" tiene una letra mayúscula, tiene 10 caracteres, tiene un carácter especial y usted cree que es seguro. "Green Horse President Butter" no está permitido, pero es mucho más difícil de adivinar o de fuerza bruta.

La caducidad de la contraseña es otra cosa que Pautas de contraseña modernas recomendar en contra. Hazme elegir otra contraseña según tus reglas y elijo "Contraseña-2".

Personalmente resolvería esto al requerir una contraseña larga. Si necesita tener al menos 20 caracteres, "Contraseña-123" no funcionará y usted comienza a ser creativo. O comienza a usar un administrador de contraseñas. La fuerza bruta simple no tiene oportunidad con contraseñas tan largas y es muy probable que incluso una contraseña no tan buena no se pueda componer fácilmente de una lista de palabras.

    
respondido por el allo 02.07.2018 - 11:10
fuente
0

Mi tesis de maestría fue sobre Seguridad de la información y cómo los humanos son el eslabón más débil. Siento tu dolor aquí porque en el segundo momento en que las reglas de contraseña son demasiado difíciles, los usuarios escribirán su contraseña en una nota adhesiva y la adjuntarán a su computadora.

Mi compañía tiene varias reglas adicionales para ayudar a mantener la complejidad:

  1. el 70% de su frase de contraseña debe ser diferente:   esto mantiene a la gente de password1 , luego password2 , luego password3
  2. Su contraseña no puede contener ninguna palabra del diccionario:   esto obliga a las personas a utilizar la ortografía leet y soluciones alternativas similares
  3. Su contraseña no puede ser una frase de contraseña común:   esto le permite probar las frases de contraseña de su sistema y evitar que más de una persona use la misma contraseña.

Dado que las contraseñas son solo un poco mejores que la ilusión de seguridad, tal vez la mejor idea es agregar un tipo diferente de autenticación.

Hay tres tipos de autenticación:

  1. Algo que sepa (como un código de acceso o frase de paso)
  2. Algo que tienes (como un token o una tarjeta de acceso)
  3. Algo que eres (como huellas dactilares u otros datos biométricos)

Cuando las contraseñas se usan junto con 2 y 3, entonces la complejidad de la contraseña no importa mucho y, a menudo, se reduce a un número de pin.

Desafortunadamente, la única forma en que el sistema puede aplicar contraseñas verdaderamente aleatorias es que el sistema las genere para un usuario ... pero casi se puede garantizar que se escribirán.

    
respondido por el Jeff Elliott 02.07.2018 - 16:59
fuente
0

Hablando filosóficamente, existen dos fuerzas principales, a las que las personas tienden a adherirse de manera diferente. La primera categoría es libertad: convicción sobre la coerción, elección sobre la obligación, moral sobre la ejecución. La segunda categoría es el poder, que es el reverso de la libertad. Estas diferencias fundamentales se pueden ver mejor en la política en cuanto a los temas de los movimientos proestatales (socialismo, nacionalismo) frente a los movimientos a favor de la libertad (libertarismo).

Ahora, la historia ha demostrado claramente que el uso de la violencia, la coerción y el control produjo peores resultados en todos los aspectos, con el comunismo y el fascismo en su apogeo de la manifestación. Por otro lado, el capitalismo (que actualmente tenemos alrededor del 50%) puede haber causado desigualdad en la riqueza, pero de una manera positiva, lo que hizo que todos se volvieran más ricos (al elevar el nivel de vida), y Aquellos que proporcionan el mayor valor para llegar a ser increíblemente ricos. Significado: Incluso los pobres (est) se benefician de eso. Mientras que si fuerzas la igualdad de riqueza total, todos se vuelven pobres y muchas personas pueden morir de hambre (pero no quienes causaron eso, por supuesto).

Entonces, para volver a este tema: siempre que tenga un objetivo positivo (mejor protección con contraseña) intente alterar la libertad de las personas por la fuerza (forzando ciertas reglas de contraseña), puede ser testigo de una disminución en sus objetivos. hasta llegar a lo contrario.

Creo que una manera viable sería abogar por una mejor protección de la contraseña y advertirles sobre la fragilidad de sus contraseñas. Tal vez mostrarles una duración estimada necesaria para romperlo. Dígales que usen varias palabras (lo que parece ser el mejor método). Pero si quieren una contraseña que se pueda descifrar en 2 segundos, es su elección.

En mi opinión, proporcionar información (y advertencias) es mucho mejor que simplemente forzar reglas de contraseñas. Porque eso es lo que sucederá, como usted describió, la gente se molestará e intentará encontrar la manera más fácil de resolver el problema. Forzar 9 letras producirá muchas contraseñas de 9 letras, pero decirles que una contraseña determinada se puede descifrar en 2 segundos puede motivarlas a usar algo mejor que el mínimo que, de lo contrario, obligaría a tener, especialmente si se trata de algo de gran importancia. .

Más muchas reglas especiales (que a menudo ni siquiera tienen mucho sentido, como 1+ mayúscula y 1+ símbolo especial) hacen que las contraseñas sean mucho más difíciles de recordar, si es que no las tenían. Así que no es solo la "estupidez" de los usuarios el problema, sino el intento de control mediante la "fuerza".

    
respondido por el Battle 03.07.2018 - 17:08
fuente

Lea otras preguntas en las etiquetas

He detectado que alguien está investigando mi sitio en busca de puntos débiles, ¿qué puedo hacer al respecto? [duplicar] ¿Cuándo las personas honestas necesitan privacidad o anonimato? (por ejemplo, no tienen nada que ocultar) [cerrado]