1.Паролата не трябва да се записва на хартия. Ако потребителите имат нужда да си записват паролите, значи системата е прекалено сложна, а следователно и неефективна. Първото правило е баланс между надеждност и ефективност.
2.Не оставяйте паролите по подразбиране. Много хакерски атаки са били успешни, защото е оставена паролата по подразбиране на някой сървър.
3. Трябва да се искат колкото може по-малко пароли. Ако на служителите в компанията се налага да помнят 10 различни пароли - от такива, които пазят наистина важна информация до такива, които на практика не са необходими, те няма да могат да работят ефективно и най-вероятно ще си запишат паролите, излагайки важната информация на риск. Преценете кои системи и приложения реално имат нужда от защита с парола.
4.Паролите трябва да се сменят периодично. Колко често да се сменят отново е въпрос на баланс между сигурност и удобство - ако служителите трябва да запомнят новите пароли всяка седмица, те вероятно ще започнат да си записват текущата парола. По-дълъг период - например 90 дни, а не стандартните 30 - ще стимулира използването на по-сложни за запомняне пароли.
5.Новите пароли трябва да са нови. Когато потребителят сменя паролата си, тя не трябва да е вариация на старата. Пароли като RandomWORD1, RandomWORD2, RandomWORD3 и т.н. са лесни за отгатване.
6. Не използвайте очевидни неща. Паролата трябва да е нещо по-сложно от една дума. Имена, адреси и други данни за потребителя, които могат лесно да се намерят, не трябва да се използват в една парола.
7. Паролата трябва да е дълга, но не прекалено дълга. Парола, съдържаща минимум 8 символа, които са малки и големи букви, както и цифри, е едно добро начало. Ако обаче се изисква прекалено дълга парола, потребителите на системата стават мързеливи относно измислянето й и използват неща от рода на ABCDEFG123456789. Минимален и максимален лимит обаче стимулират креативност. Една добра практика е използването на фраза вместо дума. mYd0g1sCALLEDf1d0 със сигурност е много по-надеждно от простото F1do.
8. Автоматизирайте смяната на паролата. Процесът по смяна на паролите на потребителите трябва да е автоматизиран. Не разчитайте персоналът да помни кога трябва да си смени паролата, каква парола вече са използвали през миналата година и кои думи не бива да се ползват.
9. Обучение. Уверете се, че политиката относно паролите е вписана в договора на служителя и че всеки служител я разбира. Ако всичко е направено както трябва, единствената ви грижа ще е служителите да не споделят паролата си с никой и да не я записват никъде. И най-важното е да не се използват едни и същи пароли във и извън корпорацията.
10. Поглед в бъдещето. Накрая, имайте предвид съвременните технологии, които вероятно ще заменят паролите - биометричната идентификация и двустепенната автентификация. Паролите са се доказали като несигурни и изложените съвети са само за тези, които не могат да използват нещо по-надеждно - засега.
|