Mais sobre CISSPforum, Um zumbi tópico sobre senhas já ressuscitou dos mortos mais uma vez.

Desta vez, alguém sugeriu tornando uma "condição de emprego" que, "se você não consegue se lembrar de um nome de usuário e senha, encontrar emprego noutro lado."

Pois sim, mas não mas. A nome de usuário e A senha, mesmo um razoavelmente forte um, seria muito bem para a maioria das pessoas. Infelizmente, precisamos de cargas.

Como profissionais de segurança da informação, não é parte de nossos papéis e responsabilidades para tornar as informações de segurança como de baixo impacto possível sobre a organização (incluindo a sua "mais valiosos", o povo), sem comprometer indevidamente o nível de segurança?

Obrigar as pessoas a escolher lotes do complexo / senhas fortes, alterá-los e lembrar-lhes muitas vezes é, gostemos ou não, um grande desafio para a média humana, eu incluído. Eu desde há muito que desistiram de tentar pensar e lembrar-se senhas fortes para todos os os sites que visita. Por um instante eu anotavam as senhas e garantiu o pedaço de papel como melhor que pude. Pass frases trabalhado melhor, mas então eu só por mim confundido inventando regras de pontuação e obscura 133tne55 e, com senilility aproximando, eu tenho dificuldade para lembrar o userID pouco.

Agora eu uso uma senha abóbada, que me permite criar, armazenar e segura instantaneamente recordar totalmente ridículo senhas, até o comprimento máximo permitido pelo sistema de autenticação (1000 + caráter senha? Nenhum problema senhor, aqui está. Fancy outro? Poof! Seu clique é meu comando) e tão complexo como uma coisa extremamente complexa sobre Dia Complexidade. Tudo o que preciso fazer é se lembrar uma senha forte / passphrase para abrir o cofre e através da prática constante que estou ficando muito bom em fazer isso, graças à fixação de definição para a palavra-passe vida "Blue Moon". eu possa armazenar senhas e outras notas de não-web-based systems também.

Sim, eu estou colocando o meu ovos em uma cesta e sim eu absolutamente fazer apreciar o risco de fazê-lo. Eu agonised sobre isso. Em termos globais, a minha avaliação dos riscos convenceu-me que, em comparação com os pedaços de papel e ocasional lock-out ( e ainda as questões ou mudo de redefinição de senha 'Obrigado. Acabámos de e-mail a sua senha em claro para um e-mail que você colocou no registro connosco há cinco anos. Have a nice day "), a abóbada da execução da AES, juntamente com a minha capacidade a não divulgar o cofre chave, ganha facilmente. E sim eu cuide mais de que a não-divulgação bits, por exemplo nunca digitando-os em PCs públicos de acesso, e utilizando uma senha forte / frase. E sendo um paranóico de segurança geek, estou seriamente pensando em comprar um stick USB com um leitor de impressões digitais para armaduras de placa do ovo cesta.

Neste caso, pelo menos, a tecnologia pode tornar o mundo um lugar mais seguro.

Atenciosamente,
Gary Hinson CISSP
NoticeBored segurança da informação sensibilização

Por favor, não responda a esta entrada no blog aqui - participar na discussão sobre CISSPforum.




Leia mais ...