Главная » Блоги Экспертов И ИТ-Компаний » Рекомендации CIS по формированию парольной политики

Рекомендации CIS по формированию парольной политики

Пару дней назад CenterforInternetSecurityвыложили рекомендации по формированию парольной политики.

%25D0%25BF%25D0%25B0%25D1%2580%25D0%25BE%25D0%25BB%25D1%258C%25D0%25BD%25D0%25B0%25D1%258F%2B%25D0%25BF%25D0%25BE%25D0%25BB%25D0%25B8%25D1%2582%25D0%25B8%25D0%25BA%25D0%25B0.png

Давайте посмотрим на основные тезисы данного документа:

·        Несколько раз делается оговорка, о том, что где это возможно рекомендуют использовать многофакторную аутентификацию (MFA), и вообще сделали рейтинг по степени безопасности способов аутентификации:

1.      MFA– самый надежный вариант, нужно пытаться реализовывать его по-умолчанию

2.      Менеджеры паролей (существенно повышают безопасность паролей)

3.      Пароли придуманные/заполненные человеком: это крайний случай, когда другие варианты не применимы

·        К сожалению, есть ещё много систем, в которых MFAне поддерживается, поэтому уйти от паролей полностью вряд ли удастся. К тому же в двухфакторной аутентификации, пароли/коды также могут использоваться как один из факторов. Поэтому парольная политика остается обязательной для всех организаций.

·        Сама парольная политика, рекомендованная CIS (можно прямо брать и вставлять в свою политику):

 %25D0%25A1%25D0%25B0%25D0%25BC%25D0%25B0%2B%25D0%25BF%25D0%25B0%25D1%2580%25D0%25BE%25D0%25BB%25D1%258C%25D0%25BD%25D0%25B0%25D1%258F%2B%25D0%25BF%25D0%25BE%25D0%25BB%25D0%25B8%25D1%2582%25D0%25B8%25D0%25BA%25D0%25B0.png

·        Также в документе приводятся рекомендации по составлению парольных фраз. Примеры на английском, но их легко можно адаптировать

·        Далее в документе приводится обоснование (доказательство) почему именно такие правила стоит использовать и ссылки на обширный перечень использованных источников. Крайне рекомендую самостоятельно ознакомится с документом CISи использовать в своей парольной политике.

 

PPS:

 

Чтобы не пропустить другие лучшие практики по ИБ подписывайтесь в вашем любимом канале


Источник: https://sborisov.blogspot.com/2020/07/cis.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Краснодар
https://sborisov.blogspot.com/, https://www.ussc.ru/
Информационные технологии



Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>