Правила назначения действующих паролей



Правила назначения действующих паролей

Хорошие правила назначения действующих паролей предусматривают генерацию паролей, которые разгадать непросто. Несмотря на то, что концепция сложности разгадывания выглядит несколько абстрактно, общепринятая установка заключается в том, что пароль должен представлять собой смесь букв, цифр или особых символов, а не просто слово, которое можно найти в словаре. Другой способ предотвращения разгадывания паролей заключается в хранении так называемых "социальных словесных конструкций" для каждого пользователя. Эти конструкции можно применять в качестве шаблона при сопоставлении с ними вводимых паролей, и пользователям не будет позволено использовать эти данные в своих паролях. Эта информация может содержать имена супругов, детей, домашних животных, место рождения, юбилей, день рождения и т.д.

В некоторых организациях, например, связанных с оборонным комплексом, может предъявляться требование генерировать автоматически пароль для каких-либо пользователей. Обычно при генерации таких паролей используется разное количество печатных знаков. После генерации такой пароль передается пользователю. К сожалению, такой пароль нелегко запомнить. Пользователи имеют тенденцию записывать эти пароли на клочках бумаги, которые могут быть утеряны или похищены. Если вами используются дополнительные методы контроля за назначением паролей, то стоит попытаться разработать правила, позволяющие генерировать более читабельные пароли для пользователей.

Другая важная особенность заключается в сроке действия пароля. Если срок действия пароля не определен, то похищенный пароль может использоваться постоянно. Но если пароль имеет определенный срок действия, то в случае компрометации пароля, остается шанс, что проблема разрешится сама собой после изменения пароля в назначенный срок.Несмотря на то, что это звучит несколько наивно, данная методика похожа на периодическое изменение комбинации цифр на замке, чтобы выяснить, кто знает эту комбинацию.

Можно ли повторно использовать пароли, которые были изменены? Одна из компаний, с которой сотрудничал автор книги, поддерживала базу данных с последними 24 паролями, чтобы пользователь имел возможность посмотреть, не назначает ли он старый пароль при очередной замене пароля. Несмотря на то, что правилами вроде бы было предусмотрено, что пароль не сможет быть использован повторно в течение двух лет, ошибкой создателей этой базы данных было то, что они рассчитывали на изменение пароля ежемесячно согласно истечению его срока действия. Однако, поскольку автор книги использовал свое присутствие в системе и, соответственно, пароль для тестирования, он в течение трех месяцев заполнил базу назначенных паролей, чем продемонстрировал несостоятельность таких допущений.

Независимо от используемого критерия, необходимо, чтобы действие его было обеспечено для всех пользователей одинаково.

На основе всех этих соображений можно составить образец формулировки правил наподобие следующей.

В учетной записи каждого пользователя должен содержаться его собственный пароль. Действующий пароль должен состоять из комбинации букв, цифр или специальных символов; состоять, не менее чем из восьми символов, и оставаться действующим в течение 90 дней после последнего изменения. Пароль нельзя использовать повторно, по крайней мере, в течение 24 месяцев после его последнего использования.



Содержание раздела