Tekniker för hotreducering
Det finns ett antal tillgängliga tekniker för hotreducering som du kan använda för att bättre skydda lösenord. Dessa tekniker implementeras med hjälp av en eller flera av följande fyra primära tekniker.
| Teknik | Beskrivning |
|---|---|
| CryptoAPI | CryptoAPI innehåller en uppsättning funktioner som hjälper dig att använda kryptografiska rutiner för målentiteter. CryptoAPI kan tillhandahålla hashar, sammandrag, kryptering och dekryptering för att nämna dess primära funktioner. CryptoAPI har också andra funktioner. Mer information om kryptografi och CryptoAPI finns i Cryptography Essentials. |
| Åtkomstkontrollistor | En åtkomstkontrollista (ACL) är en lista över säkerhetsskydd som gäller för ett objekt. Ett objekt kan vara en fil, process, händelse eller något annat som har en säkerhetsbeskrivning. Mer information om ACL:er finns i åtkomstkontrollistor (ACL:er). |
| API för dataskydd | Dataskydds-API:et (DPAPI) innehåller följande fyra funktioner som du använder för att kryptera och dekryptera känsliga data: CryptProtectData, CryptUnprotectData, CryptProtectMemoryoch CryptUnprotectMemory. |
| Lagrade användarnamn och lösenord | Lagringsfunktioner som gör hanteringen av användarnas lösenord och andra autentiseringsuppgifter, till exempel privata nycklar, enklare, mer konsekvent och säkrare. Mer information om den här funktionen finns i CredUIPromptForCredentials. |
Dessa tekniker är inte tillgängliga på alla operativsystem. I vilken utsträckning säkerheten kan förbättras beror därför på vilka operativsystem som ingår. Här är de tekniker som är tillgängliga i varje operativsystem.
| Operativsystem | Teknik |
|---|---|
| Windows Server 2003 och Windows XP |
|
| Windows 2000 |
|
Följande tekniker för hotreducering använder en eller flera av de fyra teknikerna. Tekniker som kräver användning av tekniker som inte ingår i operativsystemet kan inte användas.
Hämta lösenord från användaren
När du tillåter att användaren konfigurerar ett lösenord framtvingar du användningen av starka lösenord. Du kan till exempel kräva att lösenord är en minsta längd, till exempel åtta tecken eller mer. Lösenord bör också krävas för att inkludera versaler och gemener, siffror och andra tangentbordstecken, till exempel dollartecknet ($), utropstecknet (!) eller större än (>).
När du har fått ett lösenord använder du det snabbt (med så lite kod som möjligt) och raderar sedan alla spår av lösenordet. Detta minimerar den tid som är tillgänglig för en inkräktare för att "fånga" lösenordet. Kompromissen med den här tekniken är hur ofta lösenordet måste hämtas från användaren. Principen bör dock användas när det är möjligt. Information om hur du hämtar lösenord på rätt sätt finns i Fråga användaren om autentiseringsuppgifter.
Undvik att ange användargränssnittsalternativ för "kom ihåg mitt lösenord". Ofta kräver användarna att ha det här alternativet. Om du måste ange det måste du åtminstone se till att lösenordet sparas på ett säkert sätt. Mer information finns i avsnittet Lagra lösenord senare i det här avsnittet.
Begränsa försök att ange lösenord. Efter ett visst antal försök utan framgång kan du låsa ut användaren under en viss tid. Du kan också förlänga svarstiden för varje försök över ett maxvärde. Den här tekniken syftar till att besegra en gissningsattack.
Lagra lösenord
Lagra aldrig lösenord i klartext (okrypterade). Kryptering av lösenord ökar säkerheten avsevärt. Information om hur du lagrar krypterade lösenord finns i CryptProtectData. Information om hur du krypterar lösenord i minnet finns i CryptProtectMemory. Lagra lösenord på så få platser som möjligt. Ju fler platser ett lösenord lagras, desto större är risken att en inkräktare hittar det. Lagra aldrig lösenord på en webbsida eller i en webbaserad fil. Genom att lagra lösenord på en webbsida eller i en webbaserad fil kan de enkelt komprometteras.
När du har krypterat ett lösenord och lagrat det använder du säkra ACL:er för att begränsa åtkomsten till filen. Du kan också lagra lösenord och krypteringsnycklar på flyttbara enheter. Genom att lagra lösenord och krypteringsnycklar på ett flyttbart medium, till exempel ett smartkort, kan du skapa ett säkrare system. När ett lösenord har hämtats för en viss session kan kortet tas bort, vilket tar bort möjligheten att en inkräktare kan få åtkomst till det.