Comment trouver un équilibre entre les politiques de sécurité et les défis pratiques de mise en œuvre?

La meilleure solution consiste à former votre base d'utilisateurs à utiliser des mots de passe .

Les phrases secrètes sont plus faciles à retenir, plus faciles à taper - et plus difficiles à déchiffrer. Et les règles NIST mentionnées par @martinstoeckli sont conçues pour être compatibles avec la phrase secrète.

Cinq mots aléatoires, tirés d'un dictionnaire d'au moins 20 000 mots environ, seraient un bon compromis.

La formation sera la clé, en utilisant du matériel comme Stanford's .

Vous pouvez même créer un moyen de générer et de leur suggérer des phrases secrètes. Il serait relativement facile de créer une instance privée simplifiée de ae7.st/g ou rempe.us/diceware pour votre base d'utilisateurs à utiliser comme point de départ. Ceux-ci s'exécutent entièrement côté client, de sorte que les mots de passe ne peuvent pas être collectés à distance.

[Edit: Oui, je suis aussi un grand fan des gestionnaires de mots de passe. Mais la question d'origine est centrée sur les appels du service d'assistance à réinitialisation de mot de passe dans l'entreprise, ce qui signifie presque certainement des mots de passe AD - qui sont l'un de ces mots de passe "frontaux" qui doivent généralement être mémorisés.]

Aidez tous les membres de votre organisation à utiliser un bon gestionnaire de mots de passe. (Je dois révéler que je travaille pour les fabricants d'un très bon gestionnaire de mots de passe.)

Sérieusement, vous avez un problème de gestion des mots de passe, et l'utilisation d'un gestionnaire de mots de passe au sein de votre organisation est la meilleure solution pour y remédier. C'est à cela que les gestionnaires de mots de passe sont destinés.

Répondre aux commentaires

Il y a eu un certain nombre d'excellents commentaires ma réponse plutôt désinvolte. Il semble donc que je vais devoir faire de gros efforts ici.

Il y a deux questions à discuter.

Oublier le mot de passe du gestionnaire de mots de passe

Un gestionnaire de mots de passe n'élimine pas la nécessité de se souvenir des mots de passe all, mais il aide certainement. Il n'était pas tout à fait clair pour moi si la question d'origine était axée spécifiquement sur le mot de passe utilisateur du poste de travail/AD/LDAP pour l'organisation ou sur d'autres mots de passe.

Une chose à propos de l'utilisation du gestionnaire de mots de passe est que vous devez généralement taper son mot de passe plusieurs fois par jour. Donc, après un court instant, les gens l'apprennent bien.

Et en parlant spécifiquement de 1Password, nous avons mis en place des choses pour qu'il nous soit impossible d'apprendre les secrets de quiconque, mais il est possible pour certaines personnes au sein d'une organisation d'être autorisées à effectuer la récupération. Consultez notre documentation pour savoir à quoi cela ressemble pour un administrateur ou notre livre blanc sur la sécurité pour les détails sanglants sur la façon dont tout cela fonctionne dans les coulisses.

Connexion au poste de travail

Bien sûr, vous ne pouvez pas exécuter votre gestionnaire de mots de passe sur un système auquel vous ne pouvez pas vous connecter. Mais selon les politiques de votre organisation, le gestionnaire de mots de passe peut également s'exécuter sur le téléphone d'un utilisateur.

Je comprends qu'il y aura des objections à cela, mais considérez qu'il est dans l'intérêt des organisations que le mot de passe de connexion des utilisateurs ne soit pas quelque chose qu'ils utilisent également pour le HTTP uniquement MyKittyPictures.org qui est construit sur une version de Wordpress qui n'a pas été mise à jour depuis une décennie. Vous voulez donc que vos employés utilisent un gestionnaire de mots de passe à la maison comme au travail.

Encore une fois, 1Password (et certains de nos concurrents) permettent de gérer des comptes séparés, afin que vous ne trouviez pas de secrets de travail qui fuient dans des endroits où vous ne le souhaitez pas. Je ne voulais pas vraiment en faire un argumentaire de vente, mais il existe des moyens de mettre en place des choses qui répondent aux besoins de sécurité de diverses organisations.

Avec des mots de passe uniques, le besoin de rotation forcée diminue

(Ceci est pertinent car la rotation forcée des mots de passe conduit les gens à oublier les mots de passe ou à utiliser des mots de merde.)

Les rotations de mot de passe forcées font généralement plus de mal que de bien. Une partie du "bon" qu'ils font est que les gens ont tendance à réutiliser le même mot de passe sur plusieurs services, et donc une fois que l'on est compromis, tout ce qui utilise le même mot de passe est vulnérable.

Amener les gens à utiliser un gestionnaire de mots de passe aide à éloigner les gens de la réutilisation des mots de passe.

Avec les mots de passe générés, les règles de complexité ne sont pas nécessaires.

Les règles de complexité des mots de passe peuvent également faire plus de mal que de bien, et elles conduisent certainement à des mots de passe difficiles à retenir. 1Password pousse les gens vers des mots de passe maîtres très forts mais utilisables.

Encore une fois, je n'essaie pas de transformer cela en argumentaire de vente. Regardez ce que nous offrons (parlez-nous des besoins de votre organisation spécifique), mais regardez aussi les autres. Nous sommes les meilleurs, à mon avis pas si humble, mais mon point principal est que bon nombre de vos problèmes de mot de passe peuvent être résolus en utilisant un gestionnaire de mots de passe. Et cela incitera vos employés à adopter des habitudes plus sûres. Un gestionnaire de mots de passe apprécie à la fois d'augmenter la sécurité et de faciliter la vie des utilisateurs.

... le résultat réel de ces politiques/contrôles n'atteint pas le résultat souhaité.

Exactement. Vous l'avez bien identifié.

1. Revoyez votre politique de mot de passe. Réfléchissez à ce que vous protégez exactement et quelles seraient les conséquences si un attaquant découvre un mot de passe. Si le mot de passe ne donne qu'un accès à votre place de parking, ce n'est pas si nuisible, un mot de passe assez simple sera suffisant. Selon les conséquences, la politique peut être plus grave, dans certains cas, le mot de passe peut être insuffisant et vous pouvez avoir besoin de solutions matérielles comme des cartes à puce ou des gestionnaires de mots de passe USB.

2. Utilisez le gestionnaire de mots de passe. Les utilisateurs n'auront alors à mémoriser qu'un seul mot de passe. Pour la connexion au système (Windows, Linux, ...), vous ne pouvez évidemment pas utiliser le gestionnaire de mots de passe sur ce système, mais vous pouvez utiliser le gestionnaire PW sur votre smartphone (fourni et configuré par votre entreprise et conforme à vos politiques de sécurité).

. Utilisez l'authentification à 2 facteurs. Par exemple, mot de passe plus SMS. Pro: les mots de passe peuvent être plus simples. Contre: les utilisateurs peuvent se plaindre, car ils seront obligés de saisir de manière permanente le code de SMS dans la boîte de dialogue de connexion. Vous pouvez toujours faire simple, si vous utilisez l'authentification à 1 facteur dans votre intranet ou dans votre bureau et 2 facteurs pour l'accès à distance uniquement ou lorsque l'utilisateur se connecte pas depuis son PC.

4. Automatisez la réinitialisation du mot de passe. Donnez à vos utilisateurs la possibilité de réinitialiser leurs mots de passe automatiquement, par ex. par e-mail ou SMS.

Les points les plus pertinents ont été soulevés dans d'autres postes. Je veux juste souligner

1. Laisser les utilisateurs choisir et conserver un bon mot de passe est dans la plupart des situations la meilleure affaire de sécurité que de les forcer à changer régulièrement de mot de passe.

2. Un calcul simple montre que des exigences de complexité élaborées peuvent être échangées contre un ou deux caractères supplémentaires, c'est-à-dire au lieu d'exiger les lettres/chiffres/caractères spéciaux "habituels" et une longueur minimale de 8, il suffit de demander 10 caractères.

3. Des exigences telles que des caractères spéciaux affaiblir les mots de passe, car pratiquement aucun utilisateur ne choisit un tel caractère au hasard à une position aléatoire - jetez un œil à la liste des mots de passe rockyou et regardez la quantité de mots de passe qui se terminent par "! " ou ".". C'est donc assez prévisible. En fait, le raisonnement selon lequel la complexité améliore la sécurité (plus précisément: l'entropie) repose sur l'hypothèse que les utilisateurs choisissent des mots de passe comme 1D>u&b8H ou 6mp{:2tL au lieu de mots de passe comme g0tch4!! ou #1Hottie.

4. Si vous voulez de la complexité, faites-le de la bonne façon: demandez n sur m différents caractères (par exemple au moins 8 sur 12 ou plus), et rejetez les modèles comme 123456 ou qwerty etc. Ce n'est pas parfait, mais cela éliminera immédiatement le pire type de déchets.

5. Encore mieux, encouragez vos utilisateurs à utiliser des phrases secrètes.

6. J'ai également vu des suggestions de mots de passe basées sur l'idée de Randall Munroe de choisir quatre (ou plus) mots aléatoires.

Enfin, si la sécurité est vraiment une telle préoccupation, les mots de passe pourraient ne pas être le bon choix pour l'authentification; L'authentification 2FA ou basée sur une clé publique pourrait être la solution adéquate (certes plus coûteuse). Cependant, si la direction insiste sur la politique telle qu'elle est, alors elle doit simplement vivre avec les résultats.

Dans mon entreprise, nous avons principalement 2 règles, à l'échelle de l'entreprise:

• Le magasin est soit "en mémoire" soit dans un gestionnaire de mots de passe donné avec un mot de passe maître personnel. (KeePass dans ce cas)
• La complexité du mot de passe doit être au moins d'une longueur minimale et répondre à 3 d'entre eux:
  • Caractère numérique
  • "Caractère spécial"
  • Lettre minuscule
  • Lettre majuscule

Les nouveaux employés connaissent ces règles et sont formés au besoin.

La clé ici est l'application et le support du gestionnaire de mots de passe. En pratique, cela conduit à des mots de passe aléatoires, longs et stockés en toute sécurité.

La seule exception peut être si un client demande explicitement un traitement différent des mots de passe à LEURS systèmes, qui doit être approuvé par le gestionnaire du projet.

J'ai donné quelques conférences sur ce sujet exact, donc il y a beaucoup d'informations dans ma tête et j'espère pouvoir le ramener à quelques points essentiels:

1. Quelles sont vos menaces réelles? La plupart des règles de complexité des mots de passe sont anciennes, malavisées et supposent que le forçage brutal est la principale menace. Si vous réfléchissez un peu au sujet, vous arriverez presque certainement à la conclusion que ce n'est pas le cas. Dans 90% des paramètres, si le forçage brutal est possible, votre logiciel est cassé.

2. Les utilisateurs interpréteront toujours votre politique de mot de passe de la manière la plus simple pour eux. Cela a pour conséquence involontaire qu'un attaquant qui connaît votre politique de mot de passe dispose en fait d'un espace de recherche considérablement réduit. Par exemple, si vous avez besoin de nombres, la grande majorité des utilisateurs les mettra à la fin, une minorité au début et presque personne ne les mélangera dans Word comme le supposaient vos estimations de complexité triviales.

3. Oubliez les règles "caractères spéciaux et chiffres et majuscules et minuscules". Ils sont totalement absurdes. Ces règles font en fait un certain nombre d'attaques plus facile.

4. Appliquer des mots de passe longs. 8 caractères minimum absolu, mieux 12. Si le mot de passe est suffisamment long, il peut être mémorable, il peut s'agir d'un mot ou d'une variation ou d'un mélange de mots. Il est facile de créer des mots absurdes dans la plupart des langues. Par exemple, "mots les plus absents" de cette dernière phrase. Ceux-ci sont assez faciles à mémoriser et assez rapides à taper correctement. (mélanger des parties de 4 mots environ est ma variante préférée de la célèbre réponse xkcd à ce sujet, ce qui est génial, mais entraîne des mots de passe trop longs que les utilisateurs normaux ne taperont pas - rappelez-vous que la plupart des utilisateurs ne peuvent pas toucher le type )

5. Vérifiez les mots de passe que les gens saisissent par rapport à une liste noire pour vous assurer que le "mot de passe" et tout ce qui figure dans la liste des 100 premiers n'est pas acceptable. Ajoutez-en deux (par exemple, nom de l'entreprise ou nom de l'entreprise + année en cours)

6. Revenez à vos réflexions sur les menaces et ajoutez-y générique des conseils spécifiques à vos menaces. Par exemple, s'il existe une menace raisonnable que votre base de données de mots de passe puisse être volée, vous avez le seul scénario où la force brute est en fait une chose, et vous devez penser à l'espace de recherche - après vous être assuré que vous utilisez de bons hachages, bons du sel et peut-être du poivre. De plus, il est peut-être plus facile et plus efficace de sécuriser votre base de données que d'essayer de forcer les gens à faire quelque chose que des milliers de personnes essaient de les forcer depuis des décennies, sans succès? - si, toutefois, vous identifiez le surf à l'épaule comme une menace sérieuse, vous voulez certainement pas vouloir de la complexité dans les mots de passe, car 9 [~ K> '? + D * kg est beaucoup plus lent à taper que "les mots les plus bas", alors qu'ils ont la même complexité (de l'ordre de 10 ^ 22).

Si vous avez besoin de données et de recherches pour convaincre les autres membres de votre entreprise, criez-moi.

Ce qui ennuie vos utilisateurs, c'est la politique stricte, qui empêche de nombreux mots de passe forts tout en autorisant les mots de passe faibles

La politique de mot de passe est solide avec "Les mots de passe doivent avoir un minimum de 8 caractères avec un mélange de caractères alphanumériques et spéciaux et 60 jours d'expiration. Pas de répétition des mots de passe pour 3 fois consécutives ".

"Password-1" a une lettre majuscule, est de 10 caractères et a un caractère spécial et vous pensez qu'il est sécurisé. "Le beurre président du cheval vert" n'est pas autorisé, mais il est beaucoup plus long et plus difficile à deviner ou à force brute.

L'expiration du mot de passe est une autre chose contre laquelle les directives modernes en matière de mot de passe déconseillent. Faites-moi choisir un autre mot de passe selon vos règles et je choisis "Password-2".

Personnellement, je résoudrais cela en exigeant un mot de passe long. Si vous devez avoir au moins 20 caractères, "Password-123" ne fonctionnera pas et vous commencez à faire preuve de créativité. Ou commencez à utiliser un gestionnaire de mots de passe. La force brute simple n'a aucune chance avec des mots de passe aussi longs et vous avez de bonnes chances que même un mot de passe pas si bon ne puisse pas être facilement composé à partir d'une liste de mots.

Ma thèse de maîtrise portait sur la sécurité de l'information et sur la façon dont les humains sont le maillon le plus faible. Je ressens votre douleur ici car à la seconde où vous rendez les règles de mot de passe trop difficiles, les utilisateurs noteront leur mot de passe sur une note autocollante et le joindront à leur ordinateur.

Mon entreprise a plusieurs règles supplémentaires pour aider à maintenir la complexité:

1. 70% de votre phrase secrète doit être différente: cela empêche les gens de password1, puis password2, puis password3
2. Votre mot de passe ne peut contenir aucun mot du dictionnaire: cela oblige les gens à utiliser l'orthographe leet et des solutions de contournement similaires
3. Votre mot de passe ne peut pas être une phrase secrète commune: cela vous permet d'échantillonner les phrases secrètes de votre système et d'empêcher plus d'une personne d'utiliser le même mot de passe.

Étant donné que les mots de passe ne sont que légèrement meilleurs que l'illusion de sécurité, la meilleure idée est peut-être d'ajouter un type d'authentification différent.

Il existe trois types d'authentification:

1. Quelque chose que vous savez (comme un mot de passe ou une phrase secrète)
2. Quelque chose que vous avez (comme un jeton ou une carte d'accès)
3. Quelque chose que vous êtes (comme les empreintes digitales ou d'autres éléments biométriques)

Lorsque les mots de passe sont utilisés en conjonction avec 2 et 3, la complexité du mot de passe n'a pas autant d'importance et est souvent réduite à un numéro de broche.

Malheureusement, la seule façon pour le système d'imposer des mots de passe vraiment aléatoires est que le système les génère pour un utilisateur… mais alors vous pouvez presque garantir qu'ils seront écrits.

Philosophiquement parlant, il existe deux forces principales auxquelles les gens ont tendance à adhérer différemment. La première catégorie est la liberté: condamnation pour contrainte, choix sur obligation, morale sur exécution. La deuxième catégorie est le pouvoir, qui est l'inverse de la liberté. Ces différences fondamentales se manifestent le mieux en politique en ce qui concerne les problèmes des mouvements pro-étatiques (socialisme, nationalisme) vs les mouvements pro-liberté (libertarianisme).

Maintenant, l'histoire a clairement montré que le recours à la violence, à la coercition et au contrôle donnait de moins bons résultats dans tous les aspects, le communisme et le fascisme étant à leur apogée de manifestation. D'un autre côté, le capitalisme (dont nous possédons actuellement environ 50%) peut avoir causé des inégalités de richesse, mais d'une manière positive, ce qui a amené tout le monde à devenir plus riche (en élevant le niveau de vie), et ceux qui fournissent le plus de valeur pour devenir incroyablement riches. Signification: Même les pauvres (est) en bénéficient. Alors que si vous forcez l'égalité totale de la richesse, tout le monde devient pauvre et beaucoup de gens peuvent mourir de faim (mais pas ceux qui l'ont causé bien sûr).

Donc, pour revenir à ce sujet: chaque fois que vous avez un objectif positif (meilleure protection par mot de passe) essayez de gâcher la liberté des gens par la force (forçant certaines règles de mot de passe), vous pouvez assister à une baisse de vos objectifs - jusqu'au point d'atteindre le contraire.

Je pense qu'un moyen possible serait de préconiser une meilleure protection par mot de passe et de les mettre en garde contre la fragilité de leurs mots de passe. Peut-être leur montrer une durée estimée nécessaire pour le casser. Dites-leur d'utiliser plusieurs mots (ce qui semble être la meilleure méthode). Mais s'ils veulent un mot de passe qui peut être déchiffré en 2 secondes, c'est leur choix.

À mon avis, il est préférable de fournir des informations (et des avertissements) que de simplement imposer des règles de mots de passe. Parce que c'est ce qui se passera, comme vous l'avez décrit, les gens seront ennuyés et essaieront de trouver le moyen le plus simple de résoudre le problème. Forcer 9 lettres donnera de nombreux mots de passe de 9 lettres, mais leur dire qu'un mot de passe donné peut être craqué en 2 secondes peut les motiver à utiliser quelque chose de mieux que le minimum que vous les forceriez autrement à avoir, surtout s'il s'agit de quelque chose de très important .

De plus, de nombreuses règles spéciales (qui n'ont souvent même pas beaucoup de sens, comme 1+ majuscule et 1+ symbole spécial) rendent les mots de passe beaucoup plus difficiles à retenir, si le leur ne les avait pas déjà. Ce n'est donc pas seulement la "stupidité" des utilisateurs qui est en cause, mais la tentative de contrôle par la "force".