Редакция CNews готова принять пресс-релизы компаний на адрес news@cnews.ru.
Приглашаем вас делиться комментариями о материалах CNews на наших страницах платформ Facebook, Telegram и Twitter.
Пару дней назад CenterforInternetSecurityвыложили рекомендации по формированию парольной политики.
Давайте посмотрим на основные тезисы данного документа:
· Несколько раз делается оговорка, о том, что где это возможно рекомендуют использовать многофакторную аутентификацию (MFA), и вообще сделали рейтинг по степени безопасности способов аутентификации:
1. MFA– самый надежный вариант, нужно пытаться реализовывать его по-умолчанию
2. Менеджеры паролей (существенно повышают безопасность паролей)
3. Пароли придуманные/заполненные человеком: это крайний случай, когда другие варианты не применимы
· К сожалению, есть ещё много систем, в которых MFAне поддерживается, поэтому уйти от паролей полностью вряд ли удастся. К тому же в двухфакторной аутентификации, пароли/коды также могут использоваться как один из факторов. Поэтому парольная политика остается обязательной для всех организаций.
· Сама парольная политика, рекомендованная CIS (можно прямо брать и вставлять в свою политику):
· Также в документе приводятся рекомендации по составлению парольных фраз. Примеры на английском, но их легко можно адаптировать
· Далее в документе приводится обоснование (доказательство) почему именно такие правила стоит использовать и ссылки на обширный перечень использованных источников. Крайне рекомендую самостоятельно ознакомится с документом CISи использовать в своей парольной политике.
PPS:
Чтобы не пропустить другие лучшие практики по ИБ подписывайтесь в вашем любимом канале
Источник: https://sborisov.blogspot.com/2020/07/cis.html
Поделиться
Редакция CNews готова принять пресс-релизы компаний на адрес news@cnews.ru.
Приглашаем вас делиться комментариями о материалах CNews на наших страницах платформ Facebook, Telegram и Twitter.