Oltre a CISSPforum, Uno zombie argomento sulle password è risorto dai morti, ancora una volta.

Questa volta, qualcuno ha suggerito che una "condizione di lavoro", che "Se non si riesce a ricordare un nome utente e la password, trovare lavoro altrove."

Ebbene sì, ma senza ma. Un nome utente e la Un password, anche ragionevolmente forte, sarebbe bene per la maggior parte delle persone. Purtroppo, abbiamo bisogno di carichi.

Come professionisti della sicurezza informatica, non è parte dei nostri ruoli e le responsabilità di rendere le informazioni di sicurezza a basso impatto possibile sulla organizzazione (compresi i suoi piu 'preziosi', le persone) senza compromettere eccessivamente il livello di sicurezza?

Costringendo le persone a scegliere i lotti del complesso / strong password, cambiare spesso e ricordare loro è, piaccia o non, piuttosto una sfida per i media umana, me incluso. Ho da tempo rinunciato a cercare di pensare e di ricordare password per tutti i visitare i siti web. Per un po 'di tempo ho scritto la password e sicuro il pezzo di carta, come ho potuto meglio. Pass frasi lavorato meglio, ma poi ho solo confuso me oscuro da inventare regole di punteggiatura e 133tne55 e, con senilility avvicina, ho ricordando la difficoltà userID po 'troppo.

Ora io uso una volta la password che mi consente di creare, memorizzare e sicuro istantaneamente ricordare totalmente ridicolo password, fino alla lunghezza massima consentita dal sistema di autenticazione (1000 + carattere password? Nessun problema, signore, qui si va. Fancy un altro? Poof! Il tuo è il mio comando fare clic su) e così complesso come una cosa molto complessa sulla Complessità giorno. Tutto quello che ho bisogno di fare è ricordare uno password / passphrase per sbloccare la volta e attraverso una costante pratica sto sempre piuttosto bene a fare che, grazie alla fissazione di la password per l'impostazione di vita "Blue Moon". Sono in grado di memorizzare le password e le note per gli altri non-web-based sistemi troppo.

Sì, sto mettendo le mie uova in un paniere e io sì assolutamente fare apprezzare il rischio di farlo. I agonised su questo. Nel complesso, la mia valutazione del rischio mi ha convinto che, rispetto ai pezzi di carta e occasionali serrata ( oltre a quelle stupide domande di reimpostazione password o 'Thank you. Abbiamo appena inviato via e-mail la vostra password in chiaro per un account e-mail è messo a verbale con noi cinque anni fa. Have a nice day'), la volta della realizzazione di AES, accoppiato con la mia capacità a non divulgare la chiave di volta, vince facilmente. E sì prendo cura oltre che di non divulgazione bit, per esempio mai digitando in pubblico accesso PC, e l'uso di una password / frase. Ed è un paranoico sicurezza geek, sto seriamente pensando di acquistare una chiavetta USB con un lettore di impronte digitali per armatura-piatto le uova cesto.

In questo caso, almeno, la tecnologia può rendere il mondo un luogo più sicuro.

Saluti,
Gary Hinson CISSP
NoticeBored la consapevolezza della sicurezza informatica

Si prega di non rispondere a questo blog qui - iscrizione nel dibattito sulla CISSPforum.




Maggiori informazioni ...