Як часто ви змінюєте пароль адміністратора / root?

У мене погана звичка рідко змінювати пароль адміністратора у своєму домені. Паролі, які я використовую, досить хороші, але я хочу бути більш послідовними щодо цього.

Як ви думаєте, що це гарна частота? Можливо, кожні 6 місяців?

Давайте зробимо швидкий розрахунок (і на хвилину забудемо кращі практики):

Припустимо шість місяців, щоб зловмисник зламав вашу систему. Припустимо також, що паролі вибираються випадковим чином із набору символів розміром 62.

Сценарій 1: Ви використовуєте 9-символьний пароль протягом шести місяців.

Сценарій 2: Ви використовуєте 9-символьний пароль протягом перших трьох місяців, а інший 9-символьний пароль для решти трьох місяців.

Сценарій 3: Ви користуєтесь паролем у 10 символів протягом шести місяців.

У Сценарії 1 нападник жорстокої сили зломкає ваш рахунок зі 100% впевненістю, якщо він може зробити 62 ^ 9 спроб за цей час.

У сценарії 2 , якщо він може зробити лише (62 ^ 9) / 2 спроби за половину часу (три місяці), він зламає рахунок з 50% впевненістю. У другому таймі він отримає ще один шанс з 50% впевненістю. Так статистично він зламатиме акаунт із 75% впевненістю.

У Сценарії 3 у нього буде 62 ^ 9 спроб протягом півроку. Але є 62 ^ 10 можливостей. Тож він зламатиме акаунт лише з впевненістю на 1/62, це близько 1,6%.

Отже, якщо ми залишаємо без уваги всі інші фактори (наприклад, вкрадені паролі та інші види атак), рекомендується скоріше вибрати довші паролі, ніж використовувати короткі (чи простіші) паролі, навіть якщо вони змінюються частіше. Тим більше, що в сценарії 3 запам'ятовується лише 10 символів, тоді як у сценарії 2 - 18 символів.

Ми здебільшого вікна, і кожен з адміністраторів має свій власний обліковий запис адміністратора домену, і ми просто довіряємо один одному надійні паролі та змінювати їх раз у раз. Я впевнений, що у всіх є надійні паролі, оскільки ми використовуємо тиск з боку однолітків, щоб переконатися, що вони довгі та мають у них цифри та / або символи, але ми їх не змінюємо досить часто. \

ДОДАТО: На сьогоднішній день більшість людей, напевно, чули це, але про всяк випадок. Експерт із шифрування та безпеки Брюс Шнайер каже, що ви повинні мати надійні паролі та записувати їх.

Хоча теоретично було б набагато краще часто змінювати паролі, фактор "записуємо-записуємо-на-після-це-фактор" збільшується експоненціально, оскільки термін дії скорочується.

Якщо це лише для приватного користування, чому б не використовувати автентифікацію відкритих ключів і мати лише хороший PW для вашого брелока?

Ви насправді говорите про обліковий запис адміністратора для домену (SID: S-1-5-21domain-500) чи ви говорите про створений для себе обліковий запис адміністратора, щоб ви могли отримати корисні журнали про те, хто що робить?

Як правило, я налаштую обліковий запис адміністратора на довгий (20+ символів пароль) і зберігатимуть пароль у безпечному місці та ніколи не використовуватиму цей обліковий запис. Я, як правило, змінюю цей пароль лише щороку або близько того. У нашій мережі також є системи блокування, які повинні запобігати будь-якій віддаленій грубій атаці бути дуже ефективною. Оскільки я ніколи не використовую пароль для повсякденних завдань, ймовірний крик його перехоплення майже не існує.

Якщо ви говорите про мій особистий обліковий запис, що я надав права адміністратора, я схильний змінювати його кожні 6 місяців. Я також схильний використовувати аутентифікацію на основі ключів, коли це можливо, так що мій пароль дуже рідко передається будь-де. Я також взагалі не працюю з тим, що, на мою думку, більшість людей вважають системами високого ризику.

Незалежно від того, наскільки складні паролі ви не встановлюєте. Завжди корисною мірою змінювати пароль кожні 30 - 42 дні. 6 місяців - це занадто старий пароль. Завжди повинна бути застосована хороша політика щодо паролів, щоб залишатися в безпеці :-)

Я, як правило, скидаю корінні паролі лише після того, як співробітник піде з роботи ... але заохочую користувачів із судо-доступом змінювати свої кожні 90 днів.