Рекомендации CIS по формированию парольной политики

Дата: 30.07.2020. Автор: Сергей Борисов. Категории: Блоги экспертов по информационной безопасности
Рекомендации CIS по формированию парольной политики

Пару дней назад Center for Internet Securityвыложили рекомендации по формированию парольной политики.

Давайте посмотрим на основные тезисы данного документа:

·        Несколько раз делается оговорка, о том, что где это возможно рекомендуют использовать многофакторную аутентификацию (MFA), и вообще сделали рейтинг по степени безопасности способов аутентификации:

1.      MFA– самый надежный вариант, нужно пытаться реализовывать его по-умолчанию

2.      Менеджеры паролей (существенно повышают безопасность паролей)

3.      Пароли придуманные/заполненные человеком: это крайний случай, когда другие варианты не применимы

·        К сожалению, есть ещё много систем, в которых MFA не поддерживается, поэтому уйти от паролей полностью вряд ли удастся. К тому же в двухфакторной аутентификации, пароли/коды также могут использоваться как один из факторов. Поэтому парольная политика остается обязательной для всех организаций.

·        Сама парольная политика, рекомендованная CIS (можно прямо брать и вставлять в свою политику):

 

·        Также в документе приводятся рекомендации по составлению парольных фраз. Примеры на английском, но их легко можно адаптировать

·        Далее в документе приводится обоснование (доказательство) почему именно такие правила стоит использовать и ссылки на обширный перечень использованных источников. Крайне рекомендую самостоятельно ознакомится с документом CISи использовать в своей парольной политике.

 

PPS: Чтобы не пропустить другие лучшие практики по ИБ подписывайтесь в вашем любимом канале


Источник — Блог Сергея Борисова про ИБ.

Сергей Борисов

Об авторе Сергей Борисов

Работал в области ТЭК, нескольких банках, последние 10 лет в системной интеграции по ИБ. В данный момент работаю в области ИБ. Занимаюсь комплексными проектами СОИБ, СЗПДн, экспертизой в проблемных случаях, развитием и продвижением новых ИБ продуктов Все, что написано в этом блоге, отражает только личную точку зрения автора и не имеет никакого отношения к точке зрения его работодателя или иной организации, с которой автора связывают официальные отношения (если это не выделено особо).
Читать все записи автора Сергей Борисов

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *