如何在安全策略和实际实施挑战之间取得平衡?

信息安全 密码 密码策略 企业政策 重设密码
2021-08-22 04:57:00

在我们的组织中,我们遇到了一些常见的事件,例如:

  1. 报告成功的密码猜测攻击

  2. 频繁的密码重置投诉

我们开始调查,以确定我们实践中的原因和缺陷。密码策略如下

密码应至少包含 8 个字符,混合字母数字和特殊字符,有效期为 60 天。连续 3 次更改没有重复密码。

大多数用户对我们的密码政策的反馈都是负面的,他们抱怨他们难以记住密码,并且经常使用简单的密码来满足政策。

我们进行了内部(个人)调查,以确定所使用密码的强度;结果表明有几个常用词以不同的组合使用,因为用户必须每 60 天更改一次密码。

例如,包含重复单词的密码,如namehomeoffice等。我相信大多数组织都有这些策略,并且大多数标准都推荐这些策略(PCI-DSS 等),但它们都没有真正在控制和实际适用性之间取得平衡.

因此,此类政策/控制的实际结果并未达到预期的结果。

主要问题是我们如何在这些策略(在本例中为密码策略)和实际实施挑战之间取得平衡?

4个回答

由于这个问题不是技术问题,而是更多关于人类行为的问题,因此您不会得到答案。你描述的很典型,我也有同样的经历。

复杂的密码规则通常不会导致更安全的密码,真正重要的只是最小长度,以及检查最常用密码的列表。人们无法记住大量的强密码,这些规则甚至会干扰好的密码方案。人们可以非常有创意地绕过这些规则,例如使用满足大多数规则的“Password-2018”之类的弱密码。通常,您最终会使用较弱的密码而不是较强的密码。

这同样适用于密码更改规则,在密码中添加一个递增的数字或当前月份是很常见的。

最近 NIST 发表了一篇官方论文(见第 10.2.1 章),建议反对此类规则,并反对其以前的建议。

尝试回答已编辑的问题:

  1. 我们可以尝试使用单点登录或OAuth2委托身份验证,这样我们可以减少用户必须记住的密码(多个服务使用相同的密码)。
  2. 可以推荐一个密码管理器登录页面上指向一个好工具的链接不会受到伤害。
  3. 我们可以鼓励使用密码短语为什么不在登录页面上放一个有趣的例子:“我喜欢睡觉,直到起床太晚”,这可以提高意识并向用户展示密码短语可以变得多么容易(并且对移动设备友好)。只要确保拒绝这个确切的例子。

最好的解决方案是培训您的用户群使用密码短语

密码更容易记住,更容易输入 - 也更难破解。@martinstoeckli 提到的 NIST 规则旨在对密码短语友好。

从至少 20,000 个单词左右的字典中抽取五个随机单词,将是一个不错的中间立场。

培训将是关键,使用斯坦福大学的.

您甚至可以创建一种方法来生成密码短语并向他们建议密码短语。为您的用户群创建一个简化的私有实例ae7.st/grempe.us/diceware以用作起点相对容易这些完全在客户端执行,因此无法远程收集密码。

[编辑:是的,我也是密码管理器的忠实粉丝。但最初的问题集中在企业中的密码重置帮助台呼叫上,这几乎可以肯定意味着 AD 密码——这是通常必须记住的那些“前端”密码之一。]

帮助组织中的每个人使用好的密码管理器。(我应该透露我为非常优秀的密码管理器的制造商工作。)

说真的,您遇到了密码管理问题,在您的组织内使用密码管理器是解决该问题的最佳方法。这就是密码管理器旨在处理的问题。

处理评论

我的回答很随意,有很多很好的评论。所以看起来我将不得不在这里付出一些真正的努力。

有两个问题需要讨论。

忘记密码管理器密码

密码管理器并不能消除记住所有密码的需要,但肯定会有所帮助。我并不完全清楚最初的问题是专门针对组织的工作站/AD/LDAP 用户密码还是其他密码。

使用密码管理器的一件事是,您通常需要每天多次输入密码。所以不久之后,人们确实学得很好。

特别是谈到 1Password,我们设置了一些东西,因此我们不可能了解任何人的秘密,但组织内的某些个人可能被授权执行恢复。请参阅我们的文档了解这对管理员来说是什么样的,或者我们的安全白皮书了解这一切在幕后如何运作的详细信息。

工作站登录

当然,您不能在无法登录的系统上运行密码管理器。但根据您的组织政策,密码管理器也可以在用户的​​手机上运行。

我知道对此会有一些反对意见,但考虑到人们的登录密码不是他们也用于 HTTP 的东西,这符合组织的利益MyKittyPictures.org。十年更新。因此,您确实希望您的员工在家中和工作中都使用密码管理器。

同样,1Password(以及我们的一些竞争对手)允许管理单独帐户的方式,这样您就不会发现工作场所的秘密泄露到您不希望的地方。我真的不想把它变成一个推销,但是有一些方法可以满足各种组织的安全需求。

使用唯一密码,强制轮换的需求减少

(这是相关的,因为强制密码轮换会导致人们忘记密码或使用糟糕的密码。)

强制密码轮换通常弊大于利。他们所做的一些“好事”是因为人们倾向于在多个服务上重复使用相同的密码,因此一旦一个人受到威胁,使用相同密码的所有东西都是易受攻击的。

让人们使用密码管理器有助于让人们远离密码重用。

使用生成的密码,不需要复杂性规则。

密码复杂性规则也可能弊大于利,而且它们肯定会导致密码难以记住。1Password 将人们推向非常强大但可用的主密码。

再说一次,我不想把它变成推销。看看我们提供什么(与我们讨论您的特定组织的需求),但也要看看其他人。在我看来,我们是最好的,但我的总体观点是,您的许多密码问题都可以通过使用密码管理器来解决。它会让你的员工养成更安全的习惯。密码管理器享有提高安全性和让用户生活更轻松的快乐。

...此类政策/控制的实际结果并未达到预期的结果。

确切地。你已经很好地确定了这一点。

1. 查看您的密码政策。考虑一下您到底在保护什么以及如果攻击者发现密码会产生什么后果。如果密码只能访问您的停车位,它并没有那么有害,一个非常简单的密码就足够了。根据后果,政策可能会更严重,在某些情况下密码可能不足,您可能需要智能卡或 USB 密码管理器等硬件解决方案。

2.使用密码管理器。用户将只需要记住一个密码。对于系统登录(Windows、Linux...),您显然不能在此系统上使用密码管理器,但您可以在智能手机上使用密码管理器(由您的公司提供和配置,并符合您的安全策略)。

3. 使用两因素身份验证。例如,密码加短信。优点:密码可以更简单。相反:用户可能会抱怨,因为他们将被迫从 SMS 永久输入代码进入登录对话框。如果您在 Intranet 或办公室中使用 1 因素身份验证和 2 因素仅用于远程访问或当用户不是从他的 PC 登录时,您仍然可以让它变得简单。

4.自动重置密码。让您的用户可以自动重置密码,例如通过电子邮件或短信。

其它你可能感兴趣的问题
上一篇接收一个 URL 链接,而不是点击它,会不会造成安全问题? 下一篇什么是反射型 XSS?