Está bien en 2017: ¿cuál es la política de contraseñas recomendada más reciente?

1. Los niveles de aceptabilidad se determinan según el apetito de riesgo de una organización o individuo. 2FA no es una bala de plata, y como evaluador de bolígrafos voy a abrir cualquier casilla que pueda (ya sea de administrador o no) y luego trabajar en la escalada de privilegios. 2FA no lo protegerá contra las vulnerabilidades del sistema que pueden proporcionar acceso a SYSTEM o root , así que si tengo un punto de apoyo en su red a través de una estación de trabajo comprometida, comenzaré los servicios de huellas digitales y trataré de obtener el administrador del dominio. Las estaciones de trabajo de usuario final comprometidas también proporcionan puntos de pivote potenciales en redes adicionales (tal vez entornos de entornos donde las cosas pueden no ser tan seguras). Si quiere hacer la vida más difícil para los actores de amenazas, habilite 2FA org wide si es posible.

2. Hay muchas de estas listas disponibles, pero echa un vistazo a Este repositorio de GitHub que contiene varias listas de Las contraseñas más comunes utilizadas. Una advertencia: se sorprenderá y se horrorizará de cuáles son las contraseñas más comunes que se siguen usando .

3. Nuevamente, su longitud mínima razonable dependerá de lo que está tratando de asegurar. En última instancia, como personal de seguridad nos encantaría ver contraseñas masivamente largas con una alta entropía en toda la organización, sin embargo, en muchos casos esto no es factible. La seguridad es importante, pero debería impedir mínimamente la capacidad de una organización para ser productiva. Una clave de descifrado LUKS para un cifrado de disco completo de un servidor muy sensible que solo se ingresa cuando el sistema se inicia es probable que sea mucho más aleatoria. A la inversa, es probable que el inicio de sesión promedio de los usuarios finales en la estación de trabajo que se utiliza cada vez que quieran acceder a su estación de trabajo sea más corto y mucho menos aleatorio. A pesar de lo que diga cualquier práctica recomendada, debe encontrar el punto óptimo de las contraseñas seguras y aleatorias con facilidad de uso.

EDITAR re: Rotación de contraseñas: el concepto de obligar a las personas a cambiar su contraseña es un tema polémico, como mínimo. Por un lado, los obliga a cambiar su contraseña potencialmente mitiga los ataques de reproducción de contraseñas. Por otro lado, obtiene la rotación de la contraseña y cambios mínimos (contraseña # 1, contraseña # 2, contraseña # 3), etc.

Es importante entender que Pentesting no es una representación veraz de su exposición a la amenaza por una simple razón: el tiempo. Las pruebas de penetración son compromisos de tiempo limitado, mientras que un ataque con un hacha para moler tiene una ventana de oportunidad mucho mayor. Podría pasar dos semanas con un cliente, pero una vez que un atacante tiene un punto de apoyo en la red, no se sabe cuánto tiempo pueden pasar sin ser detectados. Si realizo un examen de prueba de 2 semanas y no hay suerte con los ataques de repetición de contraseñas después de algunos intentos, es probable que pase a otros vectores de ataque. Para XSS o Spear Phish es más fácil para alguien que desperdicia el poder de la CPU forzando bruscamente o intentando reutilizar las contraseñas de las personas.

Dicho esto, me gusta obligar a los usuarios a cambiar sus contraseñas, aunque inevitablemente sé que las contraseñas se reciclarán. Si configuro una política de contraseña para que los usuarios cambien su contraseña cada 60 días, y recuerde sus 6 contraseñas anteriores, sé que en un año hay 60 días en los que podría funcionar un conjunto robado de credenciales. Como administrador de sistemas me gustan esas probabilidades, como atacante no me gusta. Si se pudiera confiar en que los usuarios usen una contraseña completamente diferente en cada servicio que usen, entonces sería imposible descartar el antiguo adagio de "Cambie su contraseña cada x días", pero eso no es más que un sueño imposible.

Como no hay forma de obligar al personal a usar una contraseña única en cada servicio (al menos razonablemente unqiue (es decir, no password1 para su correo electrónico, password2 para su computadora portátil, etc.) entonces no lo hago. piense que las políticas de contraseñas estarán disponibles en cualquier lugar pronto. Sabiendo que las contraseñas probablemente se reutilizarán, la responsabilidad de la organización es implementar controles adicionales (2FA, segregación de red, detección de intrusos, etc.) para redondear su seguridad interna.

Todo depende del riesgo y las amenazas ... ¿Realmente desea utilizar 2FA para obtener acceso a su propio teléfono (huella digital + frase de contraseña larga)? En el otro extremo, una aplicación sensible a la que se accede a través de una red no controlada realmente necesita un cifrado sólido y una autenticación sólida.

Y actualmente, creo que la mejor autenticación remota del estado de la técnica sigue siendo la buena y antigua tarjeta inteligente: algo que tiene (la tarjeta), algo que sabe (el código pin) y como seguridad, el bloqueo de la tarjeta en sí es una contraseña incorrecta se ingresa más de n veces (n entre 3 y 5). Además, puede usar una clave asimétrica fuerte para la autenticación, la clave está restringida dentro de la tarjeta inteligente.