1.6 Testing for Weak Password Policy
Суть тестування:
Найпоширеніший і найпростіший в адмініструванні механізм автентифікації – статичний пароль. Пароль є ключами до королівства, але користувачі часто руйнують навіть мега круті захисту в ім'я зручності. Використовуючи такі легкі паролі як: 123456, пароль та qwerty.
Як протестувати
1. Які символи дозволено та заборонено використовувати у паролі? Чи повинен користувач використовувати знаки з різних наборів символів, таких як малі та великі літери, цифри та спеціальні символи?
2. Як часто користувач може змінювати свій пароль? Як швидко користувач може змінити свій пароль після попередньої зміни? Чи може користувач змінивши свій пароль 5 разів поспіль, повернутися до свого початкового пароля.
3. Коли користувач повинен змінити пароль? І NIST, і NCSC рекомендують не примусово закінчуватися термін дії пароля, хоча це може вимагати стандартів, таких як PCI DSS. Також є добре розжована стаття за правилами паролів Тут та Оригінал тут.
4. Як часто користувач може повторно використовувати пароль? Чи зберігає програму історію попереднього пароля, чи можна з ним увійти в систему?
5. Наскільки наступний пароль має відрізнятися від останнього пароля?
6. Чи заборонено користувачеві використовувати своє ім'я користувача або іншу інформацію облікового запису (наприклад, ім'я або прізвище) у пароль?
7. Яка мінімальна та максимальна довжина пароля, яку можна встановити, і чи підходять вони для конфіденційності облікового запису та програми?
8. Чи можна встановити спільні паролі, такі як Password1 або 123456?
Бо можуть зробити брут форс.