Over for CISSPforum, En Zombie emne om passwords er steget fra de døde igen.

Denne gang nogen foreslog at gøre det til en "betingelse for beskæftigelse", at "Hvis du ikke kan huske et brugernavn og en adgangskode, finde beskæftigelse andre steder."

Nå ja, men ingen men. En brugernavn og En adgangskode, kan selv en forholdsvis stor en, ville være fint for de fleste mennesker. Desværre har vi brug for belastninger.

Som informationssikkerhed professionelle, er det ikke en del af vores roller og ansvar for at gøre informationssikkerhed som lav indflydelse som muligt på den organisation (herunder dens' mest værdifulde aktiver ", de mennesker) uden unødigt at kompromittere sikkerheden?

Tvinger folk til at vælge masser af komplekse / strong adgangskoder, ændre dem ofte og mindes dem er, vil det eller ej, noget af en udfordring for den gennemsnitlige menneskelige, mig inkluderet. Jeg for længe siden opgav forsøget på at tænke og huske stærke adgangskoder til alle de hjemmesider jeg besøger. For et stykke tid skrev jeg ned adgangskoderne og sikret det stykke papir, så godt jeg kunne. Pass sætninger fungeret bedre, men så skal jeg bare forvirrede mig selv ved at opfinde obskure regler for tegnsætning og 133tne55 og med senilility nærmer sig, har jeg problemer med at huske UserID bit too.

Nu vil jeg bruge en adgangskode hvælving, som tillader mig at oprette, sikkert gemme og øjeblikkeligt husker helt latterligt passwords, op til den maksimale længde er tilladt i henhold til autentificering system (1000 + karakter password? Intet problem sir, her du går. Fancy en anden? Poof! Dit klik er min kommando) og er så kompleks som en meget kompleks ting om Complexity Day. Alt, hvad jeg behøver gøre, er at huske en stærk adgangskode / passphrase at låse Vault og gennem konstant praksis Jeg får temmelig gode til at gøre det, takket være indstilling adgangskoden levetid indstillingen til "Blue Moon". jeg kan gemme passwords og noter til andre ikke-web-baserede systemer også.

Ja, jeg sætter mine æg i en kurv og ja jeg absolut ikke forstår risikoen for at gøre det. Jeg agonised over dette. Alt i alt, min risikovurdering overbevist mig om, at sammenlignet med de bits af papir og lejlighedsvis lockout ( plus de stumme password nulstillet spørgsmål eller 'Tak. Vi har lige sendt en e-mail dit password i klar til en e-mail-konto, du placeret på registrere hos os for fem år siden. Hav en god dag "), den hvælving implementering af AES, kombineret med min evne ikke at offentliggøre Vault nøgle, vinder let. Og ja jeg tage sig over, at ikke-videregivelse bit, for eksempel aldrig skrive det ind i den offentlige adgang pc'er, og ved hjælp af en stærk adgangskode / sætning. Og at være en paranoid sikkerhed nørd, jeg er alvorligt tænker på at købe en USB-stick med en fingeraftrykslæser til rustning-plade ægget kurv.

I dette tilfælde, i det mindste, teknologi kan gøre verden til et mere sikkert sted.

Hilsen,
Gary Hinson CISSP
NoticeBored informationssikkerhed bevidsthed

Undlad venligst at besvare denne blogoptegnelse her - deltage i diskussionen om CISSPforum.




Mere ...