¿Cómo puedo promover buenas prácticas de contraseña en una organización que actualmente no se preocupa por eso?

10

Trabajo con una organización que utiliza prácticas muy deficientes, como el uso de cuentas de usuario predeterminadas, contraseñas predeterminadas (o contraseñas iguales a las de los usuarios), intercambio de información de contraseña entre usuarios, etc.

He intentado mantener mis partes de nuestro código base / ect seguro, mis utilizan los inicios de sesión y permisos adecuados de la base de datos, ect contraseñas seguras. Pero mis programas son vulnerables a las fallas de la organización mayor. Si, por ejemplo, alguien pudiera obtener cierta información de la cuenta, la seguridad de mis aplicaciones no tiene sentido.

¿Puedo ayudar aquí y allá a cambiar las prácticas de seguridad de esta compañía o mis esfuerzos están condenados debido a los "vínculos más débiles"? En su mayor parte, mis prácticas de seguridad son tan seguras como las de ellos.

    
pregunta Ben Brocka 29.02.2012 - 16:12
fuente

3 respuestas

9

Hace poco me encontré con este artículo escrito por Ross Anderson . Además de señalar a sus colegas la rapidez con la que se pueden romper las contraseñas malas, vale la pena señalar que su investigación mostró algunos beneficios con solo recordarles a las personas algunas buenas reglas para las contraseñas y tener una introducción básica a la elección de contraseñas.

enlace

Si es posible, busque por qué las personas están eligiendo contraseñas predeterminadas o compartiendo cuentas y vea si hay alguna forma de evitar esto. Considere el ejemplo de ssh-ing en múltiples servidores y permita que parte del personal de soporte haga lo mismo. En lugar de tener una contraseña única que todos conozcan, puede usar las claves aquí para que no necesiten recordar nada. Simplemente inician sesión con la llave. Si necesita revocar la clave, elimínela del servidor (esto es obviamente un ejemplo).

La educación es la clave, además de garantizar que las personas puedan seguir con su trabajo fácilmente. Solo exigiendo que todos elijan una contraseña de 16+ de longitud, con varios casos y amp; los caracteres especiales que luego tienen que escribir más de 25 veces al día no son una solución aceptable. Simplemente no lo harán y usarán una contraseña de 6 caracteres que usarán en cualquier otro lugar, ya que es más fácil.

    
respondido por el webtoe 29.02.2012 - 16:27
fuente
2

Pregunte si tienen una política de seguridad. Si no, averigüe si alguien sería responsable de crear uno. Si no ... considere proponer una política, algo como esto, pero ajústelo ... tiene algunos problemas: enlace

Cree una advertencia de que cuando la política está en conflicto con una política existente, como PCI, la política más fuerte gana. Agregue una cláusula de revisión (por ejemplo, anualmente) un aviso dirigido a las preguntas, un proceso de excepción y el control de versiones con una fecha. Si alguien tiene preguntas, sugiérales que asistan a su reunión anual.

Preséntelo con un período de anuncio y revisión, por ejemplo, 3 meses. Permitir comentarios. Mantenga su primera reunión. Entréguelo a la gerencia y espero que se haya declarado una política.

Luego desarrolle un proceso para que su equipo administre las contraseñas. Sugiera el proceso como una guía para que otros equipos creen un proceso que cumpla con las políticas.

Una vez en su lugar, considere las herramientas para auditar la seguridad de la contraseña.

edit: por cierto, estoy de acuerdo con @webtoe en este caso. Esta es un área en la que, en mi opinión, las políticas de contraseñas antiguas como la de SANS necesitan ajustes. Por ejemplo, 8 caracteres, mayúsculas y minúsculas, alfanuméricos, caracteres especiales, sin palabras de diccionario, que requieren políticas de cambio de contraseña de 30 días a ciegas, prohibir ssh-to-root, exigir que no se escriban las contraseñas, etc., solo es buscar problemas. OTOH, si das demasiada flexibilidad, la gente se volverá descuidada. Todos los aspectos de la administración de contraseñas necesitan una justificación y deberían poder ser cuestionados.

Una de las políticas de contraseñas más estúpidas que encontré requiere un escaneo automático con una herramienta que compruebe la seguridad de la contraseña. Mis identificadores de automatización para SSH fueron golpeados repetidamente porque la autenticación de contraseña estaba deshabilitada, solo se permitía la clave pública / privada. Desafortunadamente, esto significaba que tenía que crear un trabajo cron para crear una contraseña aleatoria cada 90 días. No lo comunicaría, pero la política redujo efectivamente la seguridad de la solución.

    
respondido por el mgjk 29.02.2012 - 16:52
fuente
1

No. Use SSO: enlace .

Si las personas tienen que recordar algo que no está directamente relacionado con su actividad, la escribirán, o incluso usarán una única contraseña débil y fácil para todo. Forzarlos a elegir una buena contraseña como '! @ # Aa $ ogh443 \' solo los volverá locos. Si su trabajo es preocuparse por la seguridad, entonces debe preocuparse por las personas. Una contraseña recordada débil siempre será más fuerte que una contraseña de 44 caracteres escrita en una nota al lado del teclado.

Dales el token de autenticación, deben llevarlo siempre con ellos, así que elige uno pequeño y atractivo;). Es posible que requiera un trabajo adicional detrás de escena para que todo funcione, pero no es imposible y hace que todo sea más estandarizado y fácil de administrar al final.

    
respondido por el Aki 04.03.2012 - 07:26
fuente

Lea otras preguntas en las etiquetas