21 Сентября, 2012

Инциденты с паролями

InfoWatch
В любом таком инциденте можно усмотреть долю вины обеих сторон:
Эти стороны между собой никогда не договорятся, кто из них больше виноват, кто должен исправиться. Требуется арбитр.

Но прежде чем говорить о решении споров, нужно создать закон, по которому будут решать. Каким критериям должна отвечать парольная политика? На какие ментальные усилия со стороны пользователя можно рассчитывать? Какие требования разумны, а какие – излишни? Среди RFC и стандартов ITU подобные документы вашему покорному слуге не попадались. При этом за такой "парольной конституцией" должен стоять авторитет известной и представительной организации.

К примеру, информационная система предусматривает обязательную смену пароля раз в три месяца. Пользователь их менял и записывал в особую книжечку (запомнить – нереально). Книжечка как-то раз закончилась. Он записал где попало и потерял. Обе стороны виноватят друг друга в этом инциденте. Принципы парольной политики должны нам дать ответ: была ли принятая политика адекватной; следовало ли рассчитывать на память пользователя или объём его блокнота? Отсюда и станет понятно, кто больше виноват.

А убытки от такого инцидента бывают шестизначные.

или введите имя

CAPTCHA
zkola
27 Сентября, 2012
Критерии к парольной политике неплохо описаны в стандарте PCI DSS п.8.5.10 и далее, можно взять от туда, если, конечно, компании VISA и MasterCard Вам достаточно известны и авторитетны.
0 |