 |
|
|
| Krav på lösenordskomplexitet |
| Av: Joakim | 10/08/2004 klockan 08:40 |
Hej,
Känner nå´n av Er till nå´t om "bästa" uppsättningen av regler för lösenord. Läste en artikel av HFI ang. detta för någon månad sedan men jag saknar kompletterande information om fr.a. krav på lösenrodslängd och komposition i form av kombination av bokstäver och siffror, etc.
Jag är inte ute efter det teoretiskt mest säkra, utan i praktiken samspelet mellan säkerhet och användning.
Tack på förhand |
Mats Berglind svarade 10/08/2004 klockan 09:37 |
Vad tror du om denna korta text, hjälper den?
http://www.psynch.com/security/security-vs-usability.html |
Joakim svarade 10/08/2004 klockan 13:16 |
Tack för svaret Mats, en bra länk ...men innehåller är tyvärr för mig inget nytt.
Systemet i fråga kommer att bl.a. att användas under läkemedelsframställning där FDA's CRF Part 11 och GMP råder. M.a.o. är kraven på säkerhetsstöd från systemet stort, även om icke-datorbaserade rutiner finns på plats. Närmare analys av användningssituationen finns tyvärr inte, trots att systemet erbjuder omfattande åtkomstkontroll baserat på identifiering.
I brist på kunskap om den specifika situationen och relevant forskning lutar det åt att tillämpa de regler som används inom min egna organisation:
- Minst 8 och max 15 tecken
- Minst en gemen
- Minst 2 siffror (ej i början eller i slutet)
- Får ej innehålla användarnamnet
- Får innehålla ett fåtal "special characters"
- Frivilligt från admin att forsera byte och dynamiskt hur ofta (per åtkomstgrupp)
- Lösenordet kan bytas högst en gång per dag
- De två senaste årens lösenord kan inte användas
- O.s.v.
Dessa regler är ganska stränga och risk för work-arounds blir däför också rel. höga.
Manualen kommer att rekommendera ett val av lösenord i enlighet med http://www.cl.cam.ac.uk/TechReports/UCAM-CL-TR-500.pdf
Vidare åsikter mottages gärna. |
|
|
Forumet är inte längre aktivt.
|
|
|
|
|
