Over på CISSPforumEn zombie emnet om utleie har økt fra de døde ennå igjen.

Denne gangen noen foreslo å gjøre det en betingelse for sysselsetting "at" Hvis du ikke husker brukernavn og passord, finne sysselsetting andre steder. "

Vel ja, men ingen men. En brukernavn og En passord, selv en rimelig solid, ville passe bra for de fleste. Dessverre må vi laster.

Som informasjonssikkerhet proffer, er det ikke en del av vår rolle og ansvar å gjøre informasjon sikkerheten så lav effekt som mulig på organisasjon (herunder dens mest verdifulle aktiva, folk) uten unduly at nivået av sikkerhet?

Tvinge folk til å velge mange komplekse / sterke passord, endre dem ofte og huske dem er, liker det eller ikke, litt av en utfordring for den gjennomsnittlige menneskelige, meg inkludert. Jeg lenge siden ga opp å prøve å tenke opp og huske sterke passord for alle nettsteder jeg besøker. For en stund jeg skrev ned passord og sikret det stykke papir som best jeg kunne. Pass setninger fungerte bedre men jeg bare forvirret meg av inventing fordunkle regler for tegnsetting og 133tne55 og med senilility nærmer seg, har jeg problemer med å huske det UserId bit too.

Jeg bruker et passord hvelving som tillater meg å lage, sikkert store og øyeblikkelig tilbakekalling helt latterlig passord, opp til maksimal lengde tillatt av godkjenningssystem (1000 + tegnet passordet? Ingen problem sir, here you go. Fancy en annen? Poof! klikk er min kommando) og så komplisert som en svært komplisert sak på Complexity Day. Alt jeg trenger gjøre er å huske en sterk passord / passordsetningen å låse opp hvelv og gjennom konstant praksis Jeg får ganske god til å gjøre det, takket være innstillingen passordet levetidsverdi innstillingen til "Blue Moon". Jeg kan lagre passord og notater til andre web-baserte systemer også.

Ja, jeg setter min eggene i en kurv og ja jeg absolutt gjøre forstår risikoen for så å gjøre. Jeg agonised over dette. På saldoen min risikovurdering overbevist meg det, sammenliknet med biter av papir og sporadisk lock-outs ( pluss de dumme passord spørsmål eller "Takk. Vi har nettopp sendt passordet ditt i klartekst til en e-postkonto du på posten med oss for fem år siden. Ha en fin dag"), den hvelve implementering av AES, sammen med min evne for ikke å avsløre hvelv tast, vinner lett. Og ja jeg ta seg over at ikke-avsløring bits, for eksempel aldri skrive det inn i offentlig tilgang til PC, og bruke et sterkt passord / frase. Og som en paranoid sikkerhet geek, jeg er alvorlig tenker å kjøpe en USB-pinne med en fingeravtrykksleser for å Armour-plate i egg kurv.

I dette tilfellet, i det minste, teknologi kan gjøre verden til et sikrere sted.

Hilsen,
Gary Hinson CISSP
NoticeBored informasjonssikkerhet oppmerksomhet

Ikke svar på denne bloggpost her - bli med i diskusjonen om CISSPforum.




Mer ...