¿La hora de cambio de la contraseña del equipo de la computadora es diferente a la de otros usuarios?

Lo que debería estar en su política. Su política debe especificar varias cosas:

• Longitud / fuerza mínima de la contraseña. Por ejemplo, requerir que la contraseña tenga al menos 8 caracteres o más tiene sentido.

• Métodos de selección de contraseña. Aconseje a las personas sobre buenas maneras de seleccionar una contraseña. La gente no es muy buena para elegir contraseñas seguras, por lo que su política de contraseñas debería proporcionar orientación sobre cómo hacerlo. La mejor solución podría ser proporcionarles una herramienta para generar automáticamente una contraseña aleatoria para ellos. Alternativamente, puede sugerir cómo las personas pueden elegir una contraseña segura por su cuenta (por ejemplo, elegir una frase corta que les resulte memorable y que nadie más pueda usar).

• Manejo de contraseñas. Debes decirle a la gente que nunca comparta su contraseña con nadie más. Debe prometerles que los administradores de sistemas nunca les pedirán su contraseña. Debe prohibir que los administradores de sistemas y otro personal le pidan a alguien su contraseña. Debe especificar la sanción por violaciones.

• contraseñas de texto simple. Recomiendo que su política prohíba la transmisión de contraseñas en texto simple a través de la red: en otras palabras, debe requerir que los servicios y aplicaciones internas estén diseñados para evitar la transmisión de contraseñas en texto claro a través de la red, y debe prohibir los servicios y aplicaciones (por ejemplo, telnet). , ftp no anónimo) que transmite contraseñas de usuario sin cifrar a través de la red. Su política puede especificar un período de incorporación gradual y un proceso para obtener la aprobación de las excepciones, si es necesario.

Lo que no debería estar en su política. Debería no requiere que los usuarios cambien sus contraseñas cada 90 días . Esta es una pésima idea. Es horrible para la usabilidad. Y, no mejora la seguridad: es una de esas cosas que superficialmente suena bien para los no expertos, pero en realidad no agrega ningún beneficio significativo que yo sepa. En particular, no ayuda realmente a defenderse contra ningún modelo de amenaza realista con el que esté familiarizado. Si tiene suerte, es posible que las personas elijan una secuencia de contraseñas predecible (por ejemplo, xlkjsadf1 , xlkjsadf2 , xlkjsadf3 , etc.). Si tiene menos suerte, puede empeorar la seguridad al obligar a las personas a escribir su contraseña en algún lugar (una nota adhesiva amarilla adjunta a su monitor es el método tradicional).

Posibilidades a considerar. Dependiendo de sus circunstancias, también podría considerar lo siguiente:

• Autenticación sin contraseña. Las contraseñas no son el fin de todo, ni la autenticación del usuario. Para actividades de alto riesgo (por ejemplo, administradores de sistemas con acceso de administrador / raíz a máquinas críticas), podría considerar la necesidad de otras formas de autenticación, como las tarjetas RSA SecurID. En general, son más seguros que las contraseñas.

• Escrow de contraseña. Hay algunos casos en los que es posible que desee solicitar a los empleados que depositen una copia de una contraseña en la compañía. Un caso típico es cuando el empleado se registra para algún servicio externo (por ejemplo, Amazon EC2) y tiene que especificar un nombre de usuario y contraseña para la cuenta con ese servicio, y donde el servicio externo no proporciona ninguna forma de vincular más de un nombre de usuario con el servicio, y donde el servicio externo es confiado o utilizado por varias personas en la compañía. En ese caso, si el empleado que creó la cuenta abandona la empresa, puede perder el acceso a la cuenta en el servicio externo. Una solución es pedirle al empleado que guarde en custodia la contraseña que creó para esa cuenta con la empresa: por ejemplo, póngala en un sobre, selle el sobre, firme la solapa y colóquela en una caja fuerte con llave controlada por su jefe o alguna otro empleado.