Tenho um domínio do Windows que precisa de uma política de senha. No momento não há nenhum. Alguém tem feedback sobre um bom equilíbrio entre senhas fracas e usuários com senhas tão fortes que simplesmente as anotam?
Como ninguém tem uma senha expirada, pensei que poderia incluir usuários removendo a propriedade "A senha nunca expira" de suas contas de usuário. Dessa forma, eu (e o suporte técnico) não ficamos tão sobrecarregados com perguntas/redefinições de senha. Algum comentário?
Responder1
O Instituto Nacional de Padrões e Tecnologia (NIST) tem algunsboas publicações sobre tópicos de segurança informática. São ótimos recursos... a publicação que você procura é a Publicação Especial NIST 800-53. (Acredite em mim, não é tão ruim quanto parece)
Na IMO, uma política de senha deve ser algo assim:
- 8 caracteres
- 3 dos seguintes: maiúsculas, minúsculas, números, caracteres especiais
- nenhuma reutilização das últimas 12 senhas
- Expiração de senha de 30 a 90 dias
Responder2
Lembre-se de que quanto mais restritiva for sua política, mais vezes você será chamado por usuários que precisam de desbloqueio de contas ou redefinição de senhas. Quanto menos restritiva for sua política, maior será o risco ao qual você expõe sua organização.
Por padrão, você não pode definir comocomplexouma política de senha de domínio é (pelo menos até 2003). Existem maneiras e meios de mudar as regras, mas, no meu entender, é excepcionalmente complicado e não é para os fracos de coração. Em outras palavras, você não pode decidir que deseja que as senhas dos seus usuários sejam 3 maiúsculas, 2 especiais, 2 numéricas, etc.
Aqui está o que será definido quando vocêHabilitaroA senha deve atender aos requisitos de complexidadeconfiguração na política de grupo do Domínio Padrão:
A senha deve atender aos requisitos de complexidade.
Esta configuração de segurança determina se as senhas devem atender aos requisitos de complexidade. Se esta política estiver habilitada, as senhas deverão atender aos seguintes requisitos mínimos:
Não conter o nome da conta do usuário ou partes do nome completo do usuário que excedam dois caracteres consecutivos Ter pelo menos seis caracteres de comprimento
Contém personagens de três das quatro categorias a seguir:
Caracteres maiúsculos ingleses (A a Z)
Caracteres minúsculos em inglês (a> até z)
Base 10 dígitos (0 a> 9)
Caracteres não alfabéticos (por> exemplo,!, $, #,%)
Os requisitos de complexidade são impostos quando as senhas são alteradas ou criadas.
O que vocêpodedefinido, no entanto, é:
- comprimento mínimo da senha
- idade mínima da senha
- idade máxima da senha
- histórico de senha
- limite de bloqueio de conta (tentativas de login inválidas)
- duração do bloqueio da conta
Em todos os nossos domínios usamos complexidade, mínimo de 8 caracteres, idade mínima de 14 dias, idade máxima de 90 dias, histórico de 14 senhas, 5 tentativas de login inválidas, duração de bloqueio de 30 minutos
Responder3
O link de duffbeer703 é bom. Existem alguns motivos técnicos para certas limitações de senha e requisitos mínimos. Você precisa explorar essas limitações especialmente se não estiver em um ambiente completamente homogêneo.
De qualquer forma, a regra do grupo de 8 caracteres, três de quatro caracteres é bastante padrão. O que eu pessoalmente faço é treinar meus usuários para criar senhas em vez de senhas. Isso torna muito mais fácil criar senhas, e eles não gastam muito tempo tentando descobrir como trabalhar com todos esses requisitos de caracteres. Uma senha como "Está ensolarado. Yippee!" é fácil de inventar e lembrar.
No entanto, há um problema com essa abordagem se as pessoas usarem a gramática inglesa adequada ao escreverem suas senhas e, assim, limitarem um pouco o número total de combinações possíveis. Ou seja, uma senha que sempre começa com letra maiúscula e termina com ponto final não é mais forte só porque contém letra maiúscula e ponto final, é mais fraca porque podemos adivinhar isso com antecedência.
As outras regras de domínio padrão do Windows são adequadas, IMO, exceto que eu só exijo uma alteração de senha a cada trimestre. Pessoalmente, não estou convencido da noção de expiração de senha. Mesmo trinta dias é uma eternidade se uma conta for comprometida. De qualquer forma, as pessoas ficam muito iradas quando precisam alterar uma senha.
Como nem mesmo os especialistas em segurança conseguem chegar a um acordo sobre um bom meio-termo em qualquer coisa relacionada a senhas, eu digo que a maioria dos conselhos em qualquer extremo é simplesmente estúpida, a menos que você esteja especificamente em uma situação de alta segurança. O que considero mais importante, e o que os usuários realmente assinam, é uma declaração semelhante a: "NUNCA COMPARTILHE SUA SENHA COM NINGUÉM. NÃO ME IMPORTO QUEM SÃO OU POR QUE PRECISAM ENTRAR NO SEU COMPUTADOR QUANDO VOCÊ ESTÁ DE FÉRIAS A SEGURANÇA DA SUA SENHA É DE SUA RESPONSABILIDADE." O maior abuso de contas que já vi vem de pessoas que compartilham senhas. Todas as outras coisas do hacker 133t dificilmente são uma preocupação em um negócio antigo e normal.
Responder4
A publicação do Nist está OK, sua política de senha de domínio não é tão importante quanto educar os usuários para não compartilharem suas senhas. Não há nada intrinsecamente errado com uma senha que não expira, desde que ela não esteja gravada no teclado e eles não a compartilhem. Basicamente, quaisquer parâmetros que você definir funcionarão perfeitamente. As duas coisas mais importantes a se pensar são:
limite de bloqueio de conta (tentativas de login inválidas) duração do bloqueio de conta
O que isso limita é a capacidade das pessoas de usar força bruta em sua segurança. Normalmente recomendo um limite de 5 e uma duração de 2 horas, mas isso certamente depende da situação. Como Boden apontou, nem mesmo os especialistas em segurança conseguem concordar sobre o que é uma política de senha segura. Na verdade eu implementariaisolamento de servidor e domínioantes de me preocupar com minha política de senha. Nesse ponto, darei a você minha senha - você ainda não está acessando meus recursos.