Política de contraseñas: emita contraseñas generadas aleatoriamente / deje que el usuario elija una contraseña

6

Actualmente estoy pensando en una nueva política de contraseña. Originalmente quería que los usuarios eligieran una contraseña que tenga X dígitos de longitud, números, caracteres especiales, mayúsculas y minúsculas, ... pero luego realicé algunas auditorías en una compañía de amigos. Allí tenían tal política. Extraje los hashes de la contraseña de su Active Directory y dejé que john descifre las contraseñas usando las reglas de manipulación. Muchas de las contraseñas fueron descifradas cuando elijo usar una lista de palabras que se adaptó a la empresa y sus empleados. Todos usaron contraseñas válidas de acuerdo con la política, pero usar el primer nombre, el año de nacimiento y un carácter aleatorio especial al final no es tan seguro.

Ahora estoy pensando en emitir una contraseña aleatoria para cada usuario que él no pueda cambiar. La contraseña solo tendría 10 dígitos, pero no tendría ninguna relación con la persona que creo que es mucho más segura. ¿Crees que es una buena solución o me falta algo?

ACTUALIZACIÓN: la autenticación de dos factores es en general una buena solución, pero no funcionará para nosotros. Somos una pequeña empresa y la implementación de la autenticación de dos factores conlleva costos iniciales relativamente altos.

    
pregunta davidb 19.10.2015 - 18:30
fuente

4 respuestas

4

Mejores políticas de contraseñas: Fuerte, administrado y seguro.

Strong

  • largo (12 o más caracteres)
  • se requiere el juego de caracteres completo (superior, inferior, número, símbolo)
  • no hay palabras completas
  • no hay información personal si se basa en una palabra

gestionado

  • mantenido en un lugar seguro en caso de que se necesite una búsqueda
  • cambiado regularmente
  • no es lo mismo que el pase anterior
  • mantenido hash en una base de datos detrás de una contraseña completamente aleatoria (de fuerza insana) o en una base de datos no conectada a la red que requiere acceso físico seguro

secure

  • la recuperación se realiza en persona o en canales seguros completos
  • las contraseñas se revisan antes de cambiarlas (ya sea de forma automática o programada)
  • ningún usuario conoce la contraseña de otro usuario (si se descubre que tienen y no tienen una buena razón para ello, forzar un cambio de contraseña)
  • opción para la autenticación de 2 factores para que sea más segura

estos consejos son los mejores para la seguridad de la contraseña y, a menudo, se utilizan a nivel empresarial.

Acerca del factor 2 y algunos problemas con él:

Por supuesto, esa opción para la autenticación de 2 factores a menudo se lanza como un "¿Por qué no usar la autenticación de 2 factores entonces"? Bueno, en realidad hay una razón para esto: probablemente debería tener cuentas que traten con datos confidenciales . Oh, espera, sí, también hay algunos escollos:

Para todos los demás, esto agrega una capa física de autenticación que cuesta dinero, tiempo y configuración, además de ejecutar o contratar un servicio para generar, y mantener la autenticación sincronizada. Con las ubicaciones en red y fuera del sitio posibles, esto puede ocasionar algunos problemas si no se maneja correctamente, y con el tiempo siempre necesita mantenimiento. Peor aún, la pérdida de keygen es un problema común , por lo que se necesitan copias de seguridad en el sitio para ser entregadas, y si en un viaje de negocios 2 el factor conduce a un gran problema si se pierde. Luego, se les enseña cómo usarlos y se les obliga a seguir teniendo contraseñas seguras. Esto toma mucho tiempo para comenzar a funcionar (dependiendo del tamaño de la empresa, esto podría llevar a una revisión completa de TI) y requiere capacitación y personal dedicado a mantenerlo.

TL,DR:

Implemente contraseñas seguras y hable con la compañía acerca de la política y el mantenimiento de las contraseñas. Luego, ofrezca la opción de 2 factores (y, si es necesario, fuercela en algunos lugares) También siempre revise las contraseñas (ya sea manualmente o por medio de un algoritmo) para confirmar que no son fáciles de descifrar o que contienen información de identificación personal. Estas mejores prácticas son suficientes para mantener a muchas compañías seguras. Sin embargo, nunca olvide que las contraseñas son solo una parte de la seguridad cibernética.

En cuanto a la entrega de contraseñas aleatorias ... bueno, inicialmente esto está bien, pero eventualmente debe rotarse, y si ese es el caso, entonces debe dejar que elijan para que puedan recordarlo más fácilmente. Si no pueden recordarlo, seguirán fallando en el inicio de sesión, la carga de TI aumentará debido a las contraseñas olvidadas, y luego escribirlas en notas adhesivas y perderlas ahora se convertirá en un vector de ataque, o mantenerlas en un correo electrónico personal con una contraseña débil , todo tipo de cosas malas, etc. Sería mejor instruirlos sobre cómo crear una contraseña segura, larga, segura y fácil de recordar, como la siguiente:

R4nD0ms7 @ Pl312eM0 / 312 es un removedor de grapas al azar. Buena suerte identificando eso de un vistazo, o rompiéndolo. ¡Pero espera que ya hayas memorizado la base!

    
respondido por el Robert Mennell 19.10.2015 - 19:46
fuente
3

A primera vista parece más seguro, pero me preocuparía que te encuentres con problemas de personas que escriben la contraseña aleatoria en un post-it y la golpean en la pared junto a su computadora. Puede sugerir a las personas que usen un administrador de contraseñas, pero al final del día, el 90% de ellos solo hará lo que quiera.

También podría hacerse menos seguro según su método de entrega. Si les envías su contraseña por correo electrónico, obviamente eso es un problema porque entonces está flotando en texto sin formato.

También, todos en la compañía pueden odiarte. En mi experiencia la gente odia las contraseñas generadas automáticamente. Esto no está realmente relacionado con la seguridad, pero podría valer la pena considerarlo.

En resumen: no estoy seguro de que sea una respuesta en blanco y negro. Las contraseñas en sí mismas probablemente serán más seguras, pero hay otros problemas que mencioné para considerar.

    
respondido por el Abe Miessler 19.10.2015 - 18:46
fuente
1

Al azar no funcionará, si hay un problema con la autenticación única, pase al factor 2. De esa manera, si alguien puede pasar el hash, todavía tienes la protección secundaria. Las contraseñas largas, las contraseñas demasiado complejas y las que cambian con demasiada frecuencia solo harán que los usuarios A) guarden las contraseñas en todos los dispositivos que puedan usar y B) hagan que las escriban.

Mantenga la política de contraseñas en algo que los usuarios puedan recordar y adiestrelas para que utilicen mejor las contraseñas, pero 2-factor es su apuesta segura.

Recuerde, si un usuario está capturando hashes de usuario, ya está en un sistema comprometido, por lo que las contraseñas aleatorias solo funcionarán si también está vaciando cada sistema de cada perfil de usuario después de cada cierre de sesión. Eso molestará a los usuarios cuando tengan que crear perfiles para cada inicio de sesión. Si no hicieras eso, un atacante todavía tendría una ventana para obtener acceso incluso con el uso aleatorio.

2-Factor para la victoria.

-Chase

    
respondido por el user89449 19.10.2015 - 19:08
fuente
-1

Si los usuarios están seguros de que sus dispositivos físicos son seguros, ¿por qué no usar seguridad basada en token en lugar de contraseñas? Puede realizar un seguimiento de los tokens y sus vencimientos en una tabla de base de datos. Pueden iniciar el proceso de migración a dicho sistema si le envía un mensaje de correo electrónico al usuario que contiene una URL de confirmación única y aleatoria. Cuando hacen clic en la URL, obtienen un token criptográficamente seguro guardado en su navegador en una cookie o en un almacenamiento local. De esa manera, ya no tienen que usar contraseñas y puede generar los tokens con un CSPRNG. Para los usuarios que no quieren asumir que sus dispositivos son lo suficientemente seguros, y para los usuarios con tokens caducados, simplemente envíeles nuevamente una URL de confirmación. No se necesitan contraseñas.

    
respondido por el vrtjason 19.10.2015 - 19:32
fuente

Lea otras preguntas en las etiquetas