Я виявив, що в декількох випадках змушування користувачів регулярно змінювати свій пароль стає більше напругою щодо обслуговування, а не допомогою для безпеки. Крім того, я бачив, як користувачі записують свої нові паролі, оскільки вони або не мають достатньо часу, щоб запам'ятати свої паролі, і не можуть перешкоджати повторному вивченню іншого.
Яка перевага для безпеки примушує змінити паролі?
Відповіді:
Ось інший прийом від щоденника ДАНС:
Правила пароля: міняйте їх кожні 25 років
Є одна практична користь. Якщо у когось є ваш пароль, і все, що він хоче, - це прочитати вашу електронну пошту і залишитися непоміченою, вони можуть це зробити назавжди, якщо ви зрештою не зміните секрет свого входу. Таким чином, регулярна зміна пароля не дуже допомагає проти того, щоб хтось увірвався і не зміг його з вашими товарами, але це НАДАЄ вам шанс позбутися будь-яких сталкерів або снуперів, які можуть мати доступ до вашого облікового запису. Так, це добре. Але чи варта ця вигода сама по собі і згаданих недоліків змушувати користувачів змінювати свій пароль кожні 90 днів, я маю сумніви.
Примушуйте змінити пароль, коли ви його вгадаєте (постійно запускаючи програму пошуку паролів для всіх своїх користувачів).
Важко сперечатися з "ти повинен змінити свій пароль", коли відповідь "чому?" це "тому, що ми змогли вгадати це сліпо". Він автоматично винагороджує тих, хто вибирає важко відгадати паролі, і навчає ваших користувачів, які паролі слабкі. Якщо вони виберуть "password1", він закінчується, перш ніж вони зможуть увійти один раз. Якщо користувач вибере випадковий буквено-цифровий пароль із 16 символів, випадковий, змішаний регістр, ви його ніколи не вгадаєте - і ніхто інший. Нехай вони зберігають його дуже довго, і вони навіть зможуть запам'ятати його.
Це компроміс. Вимога частої зміни пароля призводить до зниження якості паролів. Для цього навіть були проведені дослідження.
При цьому, єдиний надійний спосіб я заборонив користувачам ділитися паролями - вимагати періодичних змін паролів. Мій досвід показує, що 90 днів здаються гідним компромісом між зручністю та безпекою. Якщо ви їдете довше, люди починають покладатися на спільні паролі - швидше, і ви закінчите "листопад09", "грудень09".
Найгірше, що стосується примушування до зміни паролів - це не те, що ви насправді змушуєте людей змінювати свої паролі. Це звичайно, що воно надходить з невеликим або відсутнім попередженням, і вони негайно стикаються з проблемою, з якою потрібно вирішити негайно, тому замість того, щоб дати комусь час придумати хороший пароль, швидше за все це буде менш безпечним. але простіше запам’ятати, або більш безпечно, але це просто записується, тим самим нехтуючи перевагою безпеки.
Якщо паролі мають достатню складність, що їх не легко легко довідатися, і вони не поділяються між системами, і навряд чи це було порушено, то зміна пароля, мабуть, не все так важлива.
Однак якщо будь-яке з них трапляється, і перші два, мабуть, є більш поширеними, ніж ні, змушуючи людей періодично змінювати пароль, значить, принаймні рідше вони діляться паролями.
З цього приводу я хотів би навчити ваших користувачів про те, що означає хороший пароль та чому їм дуже погано ділитися. Записування їх є звичайним, незалежно від того, чим займаєтесь.
Я рекомендую людям вибрати пароль із знайомої книги, запам’ятавши якусь не дуже звичну цитату з неї або склавши фразу. Скористайтеся першою літерою від кожного слова і десь додайте два номери. Більшість людей може пам'ятати, що після того, як вони набрали його кілька разів.
Я взагалі не бачу жодних переваг у цій практиці.
Сильний пароль набагато важливіший. Під сильним я маю на увазі або 9 + буквено-цифрові + спеціальні символи, або 15+ [az] -не лише несловниковий пароль / фразу (це ґрунтується на нещодавньому дослідженні вартості жорстоких паролів за допомогою EC2 Amazon EC2).
Системи з віддаленим доступом повинні мати програмне забезпечення для виявлення та запобігання грубої сили (наприклад, fail2ban) на всіх підданих послугах. Це набагато важливіше, IMO, ніж звичайна політика зміни паролів.
Основне питання полягає в тому, що паролі, як механізм захисту, смердять.
Якщо ви просите людей часто змінювати їх, вони записують їх. Якщо ви попросите їх використовувати 30-літерні паролі, принаймні 3 цифри, 4 великі літери та контрольний символ, вони забудуть їх або записують їх або роблять інші дурні речі. Якщо вони прості, користувачі використовуватимуть такі дурні паролі, як bunny7 або Bunny7. І вони використовуватимуть такий же неправдивий пароль для всього, включаючи свій порно-акаунт та свій рахунок Hotmail.
Мені подобаються такі інструменти, як Mobile OTP , які дозволяють користувачам використовувати свій мобільний телефон як двофакторний інструмент аутентифікації.
У перспективі, ймовірно, ми якось приземлимося у світ із зашифрованими сертифікатами як механізм ідентифікації користувача. Такі речі, як OpenID та CAS, спрощують аутентифікацію користувача та дозволяють зробити зручне одноразове реєстрація.
У довгостроковій перспективі найкращим є зменшення кількості разів, коли користувачі повинні видавати облікові дані - позбутися пароля "HR" та пароля "time-sheet" та пароля "CRM". Об’єднайте їх у загальну інфраструктуру аутентифікації, яка вимагає, щоб користувачі один раз видавали свої облікові дані. Потім вони повинні використовувати щось на зразок MobileOTP або RSA SecurID, що використовує двофакторну аутентифікацію.
За короткий термін політика щодо паролів стане темою релігійних воєн. Виконайте все, що вас попросить ваш начальник, а якщо ви - начальник, використовуйте судження, виходячи з вашої бази користувачів та очікуваного профілю безпеки.
Удачі!
Ця практика, яка не зовсім марна, була набагато важливішою давно. Дебати щодо цієї політики насправді контрпродуктивні, оскільки відволікають увагу від сучасних загроз, які є набагато серйознішими.
Поміркуйте:
Якщо ви використовуєте Windows / AD, а в обліковому записі не встановлено прапорець "Обліковий запис є чутливим і його не можна делегувати", цей обліковий запис можна використовувати через себе, і пароль не потрібен. Код для цього тривіальний.
Якщо робоча станція Windows порушена через вразливість безпеки, їх маркер безпеки в пам'яті Windows може використовуватися для доступу до інших комп'ютерів. Знову-таки, не потрібно вводити пароль.
Цей другий, до речі, саме тому ви повинні отримувати доступ до серверів лише за допомогою облікового запису, який відрізняється від вашого щоденного звичайного облікового запису користувача. Також зауважте, що обидва сценарії повністю перемагають навіть найнадійніші двофакторні механізми аутентифікації.
Найкраще, що може статися щодо безпеки пароля, - це припинити його обговорення та зосередитись на більш сучасних та серйозних загрозах.
Більше інформації:
Перегляньте презентацію Люка Дженнінгса "Один знак, щоб ними керувати":
http://eusecwest.com/esw08/esw08-jennings.pdf
Insomnia Shell - приклад коду, необхідного для компрометації жетонів на сервері ASP.Net:
http://www.insomniasec.com/releases/tools
Як: Використовуйте перехід протоколу та обмежене делегування в ASP.NET 2.0
http://msdn.microsoft.com/en-us/library/ms998355.aspx
Шукати "без пароля".
Чим довше пароль залишається незмінним, тим більша ймовірність, що він буде порушений, просто тому, що буде більше можливостей для ситуацій, в яких може виникнути компрометація (з огляду на нескінченну кількість часу, що можливо). Це також ускладнює зміни в майбутньому, оскільки користувач звик до старого. Подальший ризик полягає в тому, що якщо це порушено, і користувач не знає про те, існує певна серйозна ситуація, коли поточне неправомірне використання облікового запису користувача відбудеться. Періодичні зміни принаймні пом'якшать те, що наступна примусова зміна пароля зробить порушений пароль марним.
На мій досвід, сценарій, який, швидше за все, змушує користувачів записувати паролі, - це відсутність об'єднаного мислення у вашій безпековій інфраструктурі, наприклад, наявність декількох різних систем, для яких потрібне власне унікальне ім'я користувача та пароль. Киньте 5 користувачів у користувача, і ви отримаєте синдром жовтої липкої нотки з помстою.
Розумна політика щодо паролів, яка дозволяє користувачам вибирати паролі, які легко запам’ятати, але важко зламати, поєднавшись з хорошою освітою користувачів, твердою інтегрованою автентифікацією та гідною політикою блокування та закінчення терміну дії, все підкріплене AUP, що явно забороняє обмін паролями. найкращий спосіб.
Якщо ви кешуєте облікові дані (що більшість людей робить для наявності), це обов'язково. Якщо комп'ютер фізично викрадений і кеш-даних облікових записів увімкнено, то злодій може жорстоко вимусити машину вимкнути мережу, не боячись активувати політику блокування облікових записів. Потім вони мають дійсні дані для ваших мережевих ресурсів. Зміна цих паролів через регулярні інтервали може допомогти мінімізувати цю шкоду.
Це точна причина того, що ви ніколи не входите з привілейованим обліковим записом, ви завжди входите як обмежений користувач та отримуєте індивідуальні підказки, це запобігає примусовому привілейованому обліковому запису у випадку крадіжки / вторгнення.
Я в таборі ніколи не вимагаю зміни пароля. Або як сказано в статті - кожні 25 років - так, я тоді буду мертвим. Добре. Ось чому ... У мене є 12 паролів, які слід запам'ятати на роботі. Більшість з них змінюється, а ті, що змінюються, є абсолютно різними графіками. Всі вони мають різні вимоги до міцності. Як немічний люд може впоратися з цим? Я бачив кілька способів: запишіть їх на білій дошці. Запишіть їх на папір і зберігайте в незамкненому ящику. або мій бажаний метод: зберігайте їх у досить незахищеній таблиці Google doc. Ні в якому разі не можна переконати мене, що будь-який із цих методів (які ДУЖЕ поширені) не повністю компенсує будь-яку крихітну перевагу безпеки, отриману необхідністю внесення змін.
У мене є час написати це повідомлення, тому що я чекаю, коли хтось із ІТ-підтримки розблокує один із моїх акаунтів. Мабуть, я останній раз не оновлював свою електронну таблицю належним чином. Чи є дослідження, яке обчислює втрату БІЛЬСЬКОГО $$$ від цієї дурниці?