我公司的系统管理员要求我们提供ISO审核的密码,我的副总裁IT操作支持说这是ISMS(ISO27001)的强制要求。

有人可以确认这是否正确吗?

评论

让他实施所需的任何密码策略,并在所有用户上强制重置密码,以便他们必须将其更改为符合该策略的内容。

这既有趣又悲伤。

密切相关:我们的安全审核员是白痴。我该如何向他提供他想要的信息?。

也许是审计,所以他们知道谁需要强制性的再培训...

我非常确定,如果有人知道其他所有人的密码,则会导致您无法通过ISO27001审核...

#1 楼

这不是真的。除了系统管理员应该能够在需要时更改密码这一事实外,它还可能违反了他们声称要执行的控件。

确保控件到位是他们的工作。关于密码,但用户有责任对自己的密码保密。

任何共享的管理员密码都应由sysadmin集中管理。

合规密码策略的示例

评论


“这是不正确的”,头两个答案是这样……但是,这不只是“他说,她说”没有指向支持该声明的实际文档的链接吗?并不是说我认为有理智的人会说“安全要求,我们必须看到密码”……而只是说“随机的互联网家伙#8765309说我不必出示密码,并且100个其他随机人也同意”会笑在会议室外面。

–WernerCD
17 Mar 11 '17在2:23



这就是为什么我包含一个与称赞政策的链接,该链接清晰明确地详述了各方的责任。

–TheJulyPlot
17 Mar 11 '17 at 5:46

@WernerCD据我所知,您必须购买标准的全文:iso.org/standard/54534.html。 = /因此,链接似乎不是一个选择。可能会引用相关段落,但您必须购买该段落以进行验证...

– jpmc26
17年3月11日11:00



#2 楼

绝对不!

ISO 27001要求对密码进行管理并要求具有密码策略。您公司中的某人将这解释为需要检查所有密码以确保它们符合密码策略。

但这是进行审核的一种糟糕方法。应该采用适当的技术来迫使人们在制作密码时遵守密码政策,而不是在密码制作后立即对其进行检查。

如果他们想通过查看密码来审核密码,则会遇到一系列的失败...

评论


在策略更改后初始化所有现有密码是否合理,以确保用户使用新策略/具有强密码?

–licklake
17 Mar 9 '17 at 14:05

@licklake是的,这很合理

– schroeder♦
17年3月9日在15:09

我只想补充一点,如果任何人都可以明文形式获得这些密码,则说明审核失败。

–RubberDuck
17 Mar 10 '17 at 22:29

@licklake-过去我们更改了密码策略后,我们将所有密码设置为在未来5天过期,以使人们有一周的时间来重置密码。

–约翰尼
17 Mar 10 '17 at 23:13

我猜一个偷偷摸摸的审计师可能会通过要求检查密码来设陷阱。如果InfoSec的成员合规,那将是一个很大的不合格之处。它还可能显示出业务用户缺乏安全意识,例如由于缺乏意识会议

– niilzon
17年4月6日在11:41

#3 楼

ISO27001关于密码的说法

摘自(https://advisera.com/27001academy/blog/2015/07/27/how-to-handle-access-control-according-to-iso-27001 /)关于用户密码的摘要:

用户职责(第A.9.3小节)


这是一个很短的
小节(带有(仅一个控件)要求您定义
用户如何将其身份验证信息保密(例如,保护其密码)。这通常是通过诸如
可接受使用政策之类的文档来完成的,该文档定义了以下规则:不要写下密码,不要向任何人透露密码,不要使用相同的密码。



本质上,如果用户透露其密码,则公司将无法通过审核。

密码的重要性

您的密码比过去的签名更重要。因为在过去您的签名可能是伪造的,但现在您的密码是不可见的(至少在理论上是不可见的)。

您的密码对您的用户ID进行身份验证。您的用户ID赋予您公司区域内某些但受限制的权力。会计控制要求职责分离。例如,批准采购订单的用户不能批准收货。批准收货的用户无法批准供应商发票。

如果犯罪分子(或ISO27001审核员或IT人员)可以访问所有三个密码,则他们可以设置伪造的卖方帐户,设置伪造的采购订单。 ,设置伪造的收货单并向伪造的卖方帐户支付资金。

评论


+1表示“如果用户透露其密码,则公司将无法通过审核。”

–R .. GitHub停止帮助ICE
17年3月12日在16:19

#4 楼

这违反了ISMS。我已通过ISO27001审核认证,而且肯定不存在。您有两组密码:


个人:不用担心
企业:ISMS强制管理员实施密码策略,强迫您更改密码以满足其策略,并且审核员必须检查该政策及其执行/强制方式


评论


你能引用相关段落吗?

– jpmc26
17年3月11日在11:04

@jpmc考虑到您必须购买文本,因此很可能违反版权法。 (我不是律师,所以我不知道)

–莫妮卡基金的诉讼
17 Mar 12 '17 at 19:07

@QPaysTaxes我想您可以根据“教育目的”提出“合理使用”案例。不过,至少应该可以指出哪些部分包含相关文本。

– jpmc26
17年3月12日在22:06

@ jpmc26就像我说的,我不是律师。但是,与此同时,这似乎对我来说比较困难,即使我确定自己可以胜诉,我个人也不想首先受到起诉,而不必为自己辩护。

–莫妮卡基金的诉讼
17年3月12日在22:08

关于ISO27001,您需要检查组织是否遵循其密码策略。但是,密码策略的最佳实践是另一回事。有关于ISMS最佳做法的资源。其中之一可以确保每个人都同意:“不要泄露您的密码”。另一方面,除非审核员正在审核员工是否遵守此政策,否则审核员永远不会要求输入密码。

–伊拉克伊·赫达亚提(Iraj Hedayati)
17 Mar 12 '17 at 23:58



#5 楼

这可能是“不与任何人共享密码”策略的审核,但是从来没有理由分发密码。为了确保实施密码策略,他们可能会在策略规则内强制使用新密码。

#6 楼

您可能会在ServerFault上找到一些有用的问题:https://serverfault.com/questions/293217/our-security-auditor-is-an-idiot-how-do-i-give-him-the-information-he -wants?s = 1 | 2.3233

我同意这里的其他评论,即如果这是他们“要求”的内容,最好将所有密码重置为他们选择的密码,然后传递该密码向审核员提供信息(在现实世界中,他们不应向审核员提供任何密码)。

检查Wikipedia(https://en.wikipedia.org/wiki/ISO/IEC_27001:2005),我可以看到有关密码管理的部分,其开头为:


密码管理处理组织密码规则的分配,调节和更改


我怀疑重点应该放在“规则”上,而不是在“密码”上。

#7 楼

有争议的回答时间...


我经过27001次审核的次数:3我认为,我并没有真正计算自己。
27001次(或9000)(需要在个人和机构层面上)打动和审查密码存储的安全性:太多了。
27001或9000要求我直接向某人提供密码的次数:0。
需要27001或9000次,我必须在其他人可以访问的地方存储密码:数十次。

重要的是...我们的审核确实需要我们要记录其他人应合法拥有的密码,这确实要求我们记录应该能够登录某些高安全性系统的人,并且确实要求我们有一种向他人提供密码的方法。关键的细节是它不需要我们直接或直接这样做。

假设您有一个内部密码管理系统,该系统可以对静态加密,在传输中加密,审核日志访问并强制执行受限访问...这是27001可接受的密码处理方法。 27001审核说,您需要与某人共享一个密码,这是经过验证的。

那么,您应该共享哪种密码?尽可能少。


它可以个人识别您的身份吗?您绝对不应该共享它,没有人可以登录。
您可以多次登录系统吗?设置它们,然后不共享。
高级人员可以以其他用户身份登录系统并重设密码吗?您可能不应该共享它,并且无论如何都应该使用单个登录名。
不能创建多个帐户,也不能创建多个帐户,但是它们不能共享某些重要要求?好的,存储这些密码,但是您实际上不应该使用该登录系统。

基本上,良好的策略会强制存储足够的密码,这样,如果员工被公共汽车撞到,唯一被锁在外面的人就是该员工。
因此,审计可以要求某人确保公司的根密码服务器作为故障安全策略存储在某处...它不能要求您存储个人AD或帮助台凭据。

简而言之,仅在有正当需要时才与他人共享密码让该人也可以登录该帐户,如果通过不需要您提供上述密码的方法无法满足该需求。如果以上两点都不能满足,请向公司的安全委员会提出合规性问题。

希望可以提供一个稍微现实一些且非二进制的观点。提供密码是有原因的,知道为什么有人认为您应该在对请求说“是”或“否”之前提供密码非常重要。

公平地说,我的工作涉及处理和/或设置主要密码企业资源的管理员密码有时。经27001审核的大多数人没有工作职责。

评论


您描述的情况与OP的情况非常不同。 27k允许共享密码(这个概念,是一个程序性和可控制的过程),但是作为审核的一部分,管理员无需突然向其他人询问密码。

– schroeder♦
17 Mar 12 '17 at 21:24

@schroeder,您可能是对的,但我想强调指出,出于合理原因,在审核期间会要求某人记录密码。它取决于“我们的密码”指的是什么...从最初的问题开始,我们可以假定OP并不是在指共享密码,但是我们不能确定。更重要的是,我想弄清楚他们为什么会认为27k需要它以及实际需要什么。在这种情况下,区别很重要。

–凯塔尔
17年3月12日在21:39

#8 楼

正如其他答案所指出的,当然不是。您的第一步工作应该是改变请求者的想法。

如果您尽管做出了种种努力,还是以某种方式被迫提供密码-以书面形式获得该请求。

您可以然后以书面形式答复,您将以密封的信封的形式向请求者提供此信息,并且从那时起,您将不对通过此帐户执行的任何操作负责,该帐户的密码在管理部门的要求下才成为公众所知道的。

您过去可能已经(直接或间接)接受了您对该帐户的负责人,该帐户是您唯一知道的密码。您也可能已经接受不共享此帐户。

#9 楼

他们可以并且应该在您输入当前密码的地方编写程序,并检查该密码是否符合ISO要求。该程序还可以检查数据库,以检查密码是否真的是您的密码。

其他任何东西都是疯狂的,并且如果有太多人可以访问,则有效地使您的密码一文不值,尽管管理员可能可以访问您的帐户无论如何还是另一种方式。谁知道您使用的密码是什么。

评论


我认为他们不应该为此编写自己的程序。已经有可以验证密码是否符合特定条件的软件。希望已经内置到操作系统中。让他们改用它。

– S.L.巴特-恢复莫妮卡
17 Mar 9 '17 at 14:20



将这些检查放置在新密码中并使旧密码过期将更简单,更可靠。

–施韦恩
17 Mar 13 '17 at 4:37

#10 楼

如今,所有OS软件都包括执行更严格密码规则的方法,包括那些用于政府安全的规则。检查密码本身是对安全性的厌恶。

评论


但这并不能回答问题,因为它不是很好的安全性,与ISO 27001要求我们透露密码无关。

– DarkDust
17 Mar 10 '17 at 21:20

但是,它确实提供了一种简单的检查方法,而不会向任何人透露密码-只是让人们以一种具有严格密码策略的操作系统会接受它们的方式来更改密码。这将证明密码符合要求。

–rackandboneman
17年3月13日在11:07

我认为这不是很好的安全性-如果有人(当我向系统管理员提供密码时)读取了我的密码并在系统中以我的身份登录-这是“良好”的安全性吗?

– Bogdan Bogdanov
17年3月14日在10:51