Не находите, что это требование даёт в руки злоумышленников прекрасный инструмент для элементарной DOS-атаки.
Логины пользователей примерно известны - как правило это фамилия латиницей (или можно использовать генератор/словарь логинов).
Простейшие попытки входа под этими записями ведут к блокированию уч. записей и невозможности работы для легетимных пользователей. Частично сталкнулись с этой проблемой при сканировании сети сканером безопасности.

С точки зрения консила всё Ок - данные не утекли, а вот с точки зрения бизнеса...
Какие-то мысли или предложения есть? М.б. использовать длиннющий пароль (символов на ...дцать), но увеличить число попыток (или вовсе отказаться от блокирования)?

Видимо имеется ввиду требование 8.5.14? Только на самом деле в нем идет речь о блокировании на 30 минут после 6 неудачных попыток (8.5.13).
Частое блокирование учетных записей пользователей внутри сети – это хороший сигнал для службы ИБ и администраторов + повод провести расследование, чтобы обнаружить и устранить источник проблемы (и это достаточно просто делается, если выполняются требования по протоколированию и мониторингу событий ИБ). В этом случае, такие атаки будут иметь единичный характер.
Что же касается подобных атак, проводимых "извне" то проблема действительно может быть, т.к. злоумышленников обнаружить очень сложно. Если существует описанная проблема, можно порекомендовать использовать компенсационные меры: использовать длинные и сложные для подбора пароли, "нестандартные" логин-имена, чаще менять пароли, ограничивать источники возможного входа и т.д.

Да, именно это требование я и имел в виду: просто 6 попыток на 30 минут блокировки эквивалентно 3-ём попыткам с 15 минутной блокировкой - вот и запостил немного не то.

Ваше мнение: при длине пароля конкретно в 12 символов до скольких можно увеличить число попыток и какое можно сделать время блокирования (естественно, хочется поменьше)?

Важно понимать какой риск Вы хотите снизить. Если основная проблема, которая Вас беспокоит – это частое блокирование пользователей в результате внутренних дос-атак на них, то нужно не уменьшать порог отключения, а в случае обнаружения такой атаки проводить _немедленные_ мероприятия по выявлению и устранению источника угрозы. Т.к. это может означать, что ваша сеть заражена и данные, которые представляли интерес для злоумышленников, вероятно уже украдены. Вместо этого, Вы предлагаете просто уход от проблемы: "дос-ят - значит уменьшим время блокирования". :)
Точный ответ на Ваш вопрос можно дать только после более подробного изучения конкретной ситуации (атаки изнутри или снаружи, если первое то почему это регулярная проблема, если второе, то какой метод двухфакторной аутентификации используется и т.д.). Исходя из того, что Вы уже описали, применять компенсационные меры, скорей всего нецелесообразно. Однако можем пообщаться более предметно, в том числе можем предложить протестировать ваши процедуры по мониторингу и реагированию - в рамках теста на проникновение. Если есть интерес, пишите или звоните (контакты на сайте).

Да нет, ларчик просто открывается.
Нет никаких DOS-атак, требующих расследования и "закрытия" глаз.
Основные пользователи БД - обычные операционисты (читай: молодые или, наоборот, пожилые женщины достаточно непрофессиональные в обращении с компьютером) - как следствие очень частые ошибки при попытке аутентификации (не тот пароль, не в той раскладке, не в том регистре) с последующей блокировкой.

Не советую увеличивать пароль до 12 символов для тетушек - мягко говоря лучше не станет с безопасностью. Они гарантированно будут его записывать или использовать что-то вроде marinamarina1, что очень даже соответствует требованиям сложности, а взламывается ничуть не сложнее :-)

Цитата:

Да нет, ларчик просто открывается. Нет никаких DOS-атак, требующих расследования и "закрытия" глаз. Основные пользователи БД - обычные операционисты (читай: молодые или, наоборот, пожилые женщины достаточно непрофессиональные в обращении с компьютером) - как следствие очень частые ошибки при попытке аутентификации (не тот пароль, не в той раскладке, не в том регистре) с последующей блокировкой.

Попробуйте им написать инструкцию большими буквами - если у вас 5 (пять) раз пароль не принят системой, убедитесь в том что:
1.
2.
3.
и тут опишите их типовые ошибки. (не та раскладка, нажат Caps Lock и т.п)

Эту инструкцию надо всем дать под роспись и повесить над мониторами тех у кого блокируется аккаунт.

Цитата:

Ваше мнение: при длине пароля конкретно в 12 символов до скольких можно увеличить число попыток и какое можно сделать время блокирования (естественно, хочется поменьше)?

Если при длине пароля в 7 символов стандарт разрешает 6 попыток, то чисто эмпирически - при длине пароля в 12 символов можно будет пытаться 600000 раз (10 в 12 степени делим на 10 в 7) при условии, что время блокировки - константа.

Андрей, тут дело даже не в том какую длину пароля установить, а в том решит ли это Вашу проблему. Ну будут ваши операционистки вместо 7 символов, судорожно пытаться набрать 12, подозреваю это будет занимать ооочень большое время учитывая сложности с вводом пароля в два раза короче. Вы такими мерами можете парализовать работу всего оперзала :). Кроме того, как совершенно справедливо заметила Анна Гольдштейн, к проблеме опечаток добавится проблема плохой памяти - начнут записывать пароли где попало – на мониторах, на клавиатурах и т.д. или использовать в качестве пароля ФИО любимого внука, крылатые фразы и т.п..

Что можно посоветовать. Варианты:

1. Мое личное мнение – прислушаться к совету Максима Эмма. Лучше научить своих сотрудников ответственности и аккуратности, это поможет избежать многих других проблем в будущем. Тем более это касается операционистов, от которых зависит в том числе, куда и в каком количестве могут "улететь" деньги.

2. Попробуйте посмотреть в сторону биометрии. Таким образом, и требования стандарта будут выполнены, и значительно облегчите жизнь вашим сотрудникам.

3. И в крайнем только случае обратиться к компенсационным мерам. Поскольку выполнение 8.5.14, 8.5.13 направлено на снижение риска компрометации вследствие подбора паролей, они могут быть такими (допустим, хотим отказаться от блокирования): а) для сотрудников блокирование учеток которых не осуществляется, техническими мерами ограничить места входа в сеть (например, фильтровать логин по MAC адресу сетевой карты рабочего места); б) осуществлять усиленный мониторинг неуспешных попыток входа для указанного списка сотрудников, а в случае превышения порогового числа (скажем 12 неуспешных попыток) выявлять причину и принимать меры сразу на месте; в) менять пароли 1 раз в месяц. Данные меры применять только для ограниченного списка "проблемных" сотрудников, все задокументировать и утвердить на уровне руководства. Правила оформления компенсационных мер можно посмотреть в Приложении В к Стандарту. Очень не советую в документах, которые будете оформлять, описывать причину применения комп.мер: "частые блокировки из-за непрофессионального обращения с компьютером и постоянных ошибок при вводе паролей", лучше здесь придумать что-то другое )))