¿Cómo se puede imponer IA-5 (1) (b) en sistemas que no son Windows?

4

Ya tengo una pregunta publicada para este problema en sistemas Windows , y pensó que tal vez los sistemas que no son Windows deberían cubrirse por separado.

En NIST SP 800-53 Rev. 3, IA-5 es el control que trata la "Administración del autenticador". Los requisitos de este control incluyen aspectos como la aplicación de la longitud de la contraseña, la complejidad, la vida útil, el historial y el almacenamiento / transmisión adecuados de las contraseñas.

La primera mejora para este control, que se selecciona para todos los sistemas (Bajo / Moderado / Alto) incluye este requisito:

  

El sistema de información, para autenticación basada en contraseña:

     

...

     

(b) Hace cumplir al menos una [Asignación: número de caracteres cambiados definido por la organización] cuando se crean nuevas contraseñas;

En la mayoría de los sistemas, es bastante fácil encontrar y configurar las reglas que imponen contraseñas largas y complejas que se cambian con regularidad y no coinciden exactamente con una cierta cantidad de contraseñas antiguas. Pero, ¿cómo implementas una política que requiere que se cambie una cierta cantidad de caracteres con cada nueva contraseña?

Algunos sistemas que me interesan (siéntase libre de dirigirse a otros):

  • Mac OS X
  • Linux / Unix (Cualquier / todos los sabores)
  • Cisco IOS
pregunta Iszi 19.04.2011 - 15:25
fuente

2 respuestas

1

El enfoque que recomendaría a las empresas sería integrar estos sistemas con su servicio de directorio, que para la mayoría será Active Directory. De esta manera, su política de contraseñas se establece en un solo lugar y brinda otros beneficios en la administración del control de acceso y las funciones en un solo lugar. También puede proporcionar inicio de sesión único y autenticación de dos factores.

Orientación para hacer esto:

Para Cisco IOS, sin embargo, los servidores TACACS + o Radias son el mejor lugar para establecer una política de manera centralizada.

    
respondido por el Rakkhi 19.04.2011 - 17:38
fuente
1

Es bastante fácil de hacer con PAM, por lo que cubre al menos Linux / Solaris / FreeBSD. Entre otras cosas, el módulo pam_cracklib ofrece esa funcionalidad. En realidad, su configuración predeterminada es verificar si se cambiaron cinco caracteres, pero se puede configurar con la opción difok .

    
respondido por el Bruno Rohée 27.04.2011 - 03:06
fuente

Lea otras preguntas en las etiquetas