La respuesta depende de por qué incluso estás pensando en establecer un límite de 12 caracteres.
Si se sabe que el sistema es trivial para atacar con contraseñas de 11 caracteres y se ha demostrado que no es computacionalmente viable para atacar con contraseñas de 12 caracteres y los recursos informáticos previsibles del planeta, entonces lo convierte en un requisito absoluto . Cualquiera que no pueda o no quiera implementar ese límite simplemente no cumple con su política de seguridad, y eso es todo. Las consecuencias para ellos pueden ser muy malas (no pueden vender su producto), pueden ser manejables o absolutamente insignificantes (usan un sistema diferente que se basa en su seguridad en algo diferente a los límites de 12 caracteres y, por lo tanto, tiene una política diferente). ), pero esas consecuencias están justificadas .
Si establece un límite de 12 caracteres porque no tiene idea de qué límite debe establecer, y 6 está bastante bien pero no es suficiente para que lo duplique, entonces debe tener en cuenta lo que es práctico implementar. Presumiblemente, usted quiere que la gente use su póliza (en lugar de: si es un empleado que obtiene un trabajo que no los vuelve locos con demandas imposibles; si es el CEO que la ignora y compra algo que no cumple ninguna parte) de su póliza; si son proveedores que encuentran a otro cliente o duplican sus precios para cubrir el esfuerzo adicional). Entonces, si la política contiene requisitos arbitrarios y onerosos, entonces estás arriesgando innecesariamente esas cosas que suceden.
En la práctica, estás en algún lugar entre esos dos extremos. Pero una vez que sepa por qué está haciendo el requisito, puede decidir:
- es un requisito difícil. Cualquier cosa que no lo satisfaga no está de acuerdo con la política.
- es una recomendación que crees que es alcanzable y explicas las consecuencias de no satisfacerla.
- está a medio cocinar. Debe hacer más trabajo para establecer cuál debe ser el requisito antes de establecer la política.
Considera también el objetivo de la política. Si el objetivo del ejercicio es asegurarse de que no utiliza proveedores con configuraciones de seguridad deficientes o promedio, excluir a los proveedores que no tengan configuraciones de seguridad adecuadas, ya sea por su pequeño tamaño o por otro tipo, es una ventaja de de un requisito que solo pueden cumplir aquellos con buena seguridad. La política está ahí para guiar a las personas, también está ahí para excluir a las personas que no pueden cumplirla.
¿A quién se va a culpar cuando suceden las cosas? El equipo de seguridad ¿verdad?
Sí, y hay dos formas en que su política puede fallar y usted será culpado. Puede incluir a alguien que, en retrospectiva, te das cuenta de que debería haberlo excluido, y te culpan por una violación de la seguridad. Puede excluir a alguien que, en retrospectiva, se da cuenta de que debería haberlo incluido, y se le acusa de obstruir el negocio de la empresa. Un sistema crítico se corta en ambos sentidos: no quiere que sea inseguro y también no quiere que nunca se construya porque es muy difícil cumplir con la política. Su trabajo es encontrar algo que sea adecuado y alcanzable (o, si no puede hacerlo, al menos explicar por qué no para que alguien más pueda involucrarse en cambiar las restricciones con las que está trabajando).
Una violación masiva de seguridad es mala, pero si fuera intrínsecamente peor que la insolvencia, las compañías "jugarían de manera segura" (por ejemplo) al no adjuntar nada en Internet en primer lugar, y todo irá en quiebra. Por razones obvias, esto no es lo que eligen hacer. Por lo tanto, las disposiciones de la política deben estar justificadas y las justificaciones deben estar disponibles para su revisión posterior, de modo que, incluso si algo sale mal, parecerán decisiones razonablemente buenas dado lo que se sabía en el momento en que las tomó. p>