Рекомендации CIS по формированию парольной политики

Рекомендации CIS по формированию парольной политики

Пару дней назад Center for Internet Securityвыложили рекомендации по формированию парольной политики.

Давайте посмотрим на основные тезисы данного документа:

· Несколько раз делается оговорка, о том, что где это возможно рекомендуют использовать многофакторную аутентификацию (MFA), и вообще сделали рейтинг по степени безопасности способов аутентификации:

1. MFA– самый надежный вариант, нужно пытаться реализовывать его по-умолчанию

2. Менеджеры паролей (существенно повышают безопасность паролей)

3. Пароли придуманные/заполненные человеком: это крайний случай, когда другие варианты не применимы

· К сожалению, есть ещё много систем, в которых MFA не поддерживается, поэтому уйти от паролей полностью вряд ли удастся. К тому же в двухфакторной аутентификации, пароли/коды также могут использоваться как один из факторов. Поэтому парольная политика остается обязательной для всех организаций.

· Сама парольная политика, рекомендованная CIS (можно прямо брать и вставлять в свою политику):

· Также в документе приводятся рекомендации по составлению парольных фраз. Примеры на английском, но их легко можно адаптировать

· Далее в документе приводится обоснование (доказательство) почему именно такие правила стоит использовать и ссылки на обширный перечень использованных источников. Крайне рекомендую самостоятельно ознакомится с документом CISи использовать в своей парольной политике.

PPS: Чтобы не пропустить другие лучшие практики по ИБ подписывайтесь в вашем любимом канале


Источник — Блог Сергея Борисова про ИБ.

Сергей Борисов
Автор: Сергей Борисов
Работал в области ТЭК, нескольких банках, последние 10 лет в системной интеграции по ИБ. В данный момент работаю в области ИБ. Занимаюсь комплексными проектами СОИБ, СЗПДн, экспертизой в проблемных случаях, развитием и продвижением новых ИБ продуктов Все, что написано в этом блоге, отражает только личную точку зрения автора и не имеет никакого отношения к точке зрения его работодателя или иной организации, с которой автора связывают официальные отношения (если это не выделено особо).
Комментарии: