[an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive]
 
[an error occurred while processing this directive] [an error occurred while processing this directive]
Skåne Sjælland Linux User Group - http://www.sslug.dk Home   Subscribe   Mail Archive   Forum   Calendar   Search
MhonArc Date: [Date Prev] [Date Index] [Date Next]   Thread: [Date Prev] [Thread Index] [Date Next]   MhonArc
 

Re: [SIKKERHED] Nye bruger-passwords hver 3'emåned...



Quoting Preben Mikael Bohn <sslug@sslug>:

Umiddelbart kan _jeg_ kun se ulemper ved den sikkerhedspolitik, hvis man
vælger et godt password fra starten af. Er der nogen der kender
referencer til artikler der underbygger/modsiger den påstand?

Med venlig hilsen Preben



Jeg vil delvist give dig ret i at hvis et fornuftigt password vælges fra
starten, er det ikke "tvingende" nødvændigt at ændre dette med korte
intevaller.

Da de fleste firmaer efterhånden har fået taget sig sammen til at få lavet
politikker på IT-området, bliver man tvunget til at følge denne (én politik er
lov og ikke et debatoplæg). Hvis og såfremt politikken skal følge en standard;
BS-7799, ISO/IEC-17799 eller DS-484 er der nogle minimums-krav som der skal der
skal leves op til. I DS-484-2 s.8.3.1 bliver det nævnt: citat; "Kendeord, som
bruges i forbindelse med særligt priviligerede funktioner, skal ændres med
korte mellemrum, fx en gang hver uge."


Problematikken omkring "sikre" passwords, er jo helt klart os brugere,- som er
det svageste led i sikkerhedskæden.
I et af de tilfælde hvor jeg har været med til at gennemføre interne revisioner
på IT-sikkerheden, havde vi 20 passwords efter 4 sekunder med LC4, (dette var
bare starten på ordbogen)... Efterfølgende vendte vi tasteturer og fik de næste
12 (på gule lapper). I omtalte firma var politikken; nyt password hver 30. dag,
minimum 8 blandede karekterer, samt at man ikke kunne anvende de sidste 5
brugte kombinationer.


Medmindre man har en IT-installation hvor sikkerhed er et must, ligger den
største opgave i "brugeropdragelse", altså at oplære dem i skikker anvendelse
af  IT-udstyr, samt vise dem simple metoder til at opfinde passwords der er
"umulige" at gætte.

I de tilfælde hvor sikkerhed er (burde være) et stort issue (medicinal industri,
banker, offentlige myndigheder etc.) er det dumt at chikanere brugerene med
ugentlige password-skift, da de jo bare ender på de gule lapper.
Det er teknisk muligt at minimere "den menneskelige faktor", ved brug af
fingeraftryks-læsere, RSA-tokens, PKI etc.


Sikkerhedspolitikker kan føles som en byld i bagen for "brugeren", men det er jo
heller ikke ham der skal sidde hele natten og lave ligsyns-rapport på en hacked
server.


Hvad angår læsestof omkring dette issue, har jeg endnu ikke fundet "de vises
sten", men jeg kan varmt anbefale;
ds.dk DS-484
NSA's Rainbow books
SANS.org ;Michele D. Guel; Policy Primer
NIST (National Institute of Standards and Technology) sp-800-serien


Min personlige holdning til dit oplæg?? mit 28 karekters root-password bliver skiftet med 120 dages interval mit 16 karekters user-password bliver skiftet med 60 dages interval mine passwords der bliver overført ukrypteret (FTP etc.) er OneTime passwords

Skalaen går fra ligeglad/uvidende til paranoid, begge ender af denne har
konsekvenser. Kunsten ligger i at finde balancen.

:-)
Joe


---------------------------------------------------------------- This message was sent using IMP, the Internet Messaging Program.



 
Home   Subscribe   Mail Archive   Index   Calendar   Search

 
 
Questions about the web-pages to <www_admin>. Last modified 2005-08-10, 20:47 CEST [an error occurred while processing this directive]
This page is maintained by [an error occurred while processing this directive]MHonArc [an error occurred while processing this directive] # [an error occurred while processing this directive] *