Pregunte si tienen una política de seguridad. Si no, averigüe si alguien sería responsable de crear uno. Si no ... considere proponer una política, algo como esto, pero ajústelo ... tiene algunos problemas: enlace
Cree una advertencia de que cuando la política está en conflicto con una política existente, como PCI, la política más fuerte gana.
Agregue una cláusula de revisión (por ejemplo, anualmente) un aviso dirigido a las preguntas, un proceso de excepción y el control de versiones con una fecha. Si alguien tiene preguntas, sugiérales que asistan a su reunión anual.
Preséntelo con un período de anuncio y revisión, por ejemplo, 3 meses. Permitir comentarios. Mantenga su primera reunión. Entréguelo a la gerencia y espero que se haya declarado una política.
Luego desarrolle un proceso para que su equipo administre las contraseñas. Sugiera el proceso como una guía para que otros equipos creen un proceso que cumpla con las políticas.
Una vez en su lugar, considere las herramientas para auditar la seguridad de la contraseña.
edit: por cierto, estoy de acuerdo con @webtoe en este caso. Esta es un área en la que, en mi opinión, las políticas de contraseñas antiguas como la de SANS necesitan ajustes. Por ejemplo, 8 caracteres, mayúsculas y minúsculas, alfanuméricos, caracteres especiales, sin palabras de diccionario, que requieren políticas de cambio de contraseña de 30 días a ciegas, prohibir ssh-to-root, exigir que no se escriban las contraseñas, etc., solo es buscar problemas. OTOH, si das demasiada flexibilidad, la gente se volverá descuidada. Todos los aspectos de la administración de contraseñas necesitan una justificación y deberían poder ser cuestionados.
Una de las políticas de contraseñas más estúpidas que encontré requiere un escaneo automático con una herramienta que compruebe la seguridad de la contraseña. Mis identificadores de automatización para SSH fueron golpeados repetidamente porque la autenticación de contraseña estaba deshabilitada, solo se permitía la clave pública / privada. Desafortunadamente, esto significaba que tenía que crear un trabajo cron para crear una contraseña aleatoria cada 90 días. No lo comunicaría, pero la política redujo efectivamente la seguridad de la solución.