Con quale frequenza cambi la tua password amministratore / root?

12

Ho una cattiva abitudine di cambiare raramente la password dell'amministratore nel mio dominio. Le password che uso sono piuttosto buone, ma voglio essere più coerente su questo.

Quale pensi sia una buona frequenza? Ogni 6 mesi forse?

password 
user24555
fonte
90 giorni è una buona pratica generale per cambiare le password.
Warner,
Con unix puoi usare uno strumento come sudo, il che significa che ad alcuni utenti possono essere concessi privilegi di root per un breve periodo. Non hanno bisogno di conoscere la password di root. In effetti, puoi cavartela senza avere un set o mai saperlo. In questo caso non è necessario modificarlo. Tuttavia, gli utenti dovranno modificare le proprie password.
Matt
Oddio, dopo aver letto tutti questi post, so per certo che a volte lavoro in un dominio (di cui non sono l'amministratore di sistema, ma ho un account amministratore) in cui la administratorpassword è stata la stessa da 7 anni, ed è lungo solo 8 caratteri. Forse invierò loro un'e-mail ...
Mark Henderson

Risposte:

9

Facciamo un rapido calcolo (e dimentichiamo le migliori pratiche per un momento):

Supponi un periodo di sei mesi affinché un utente malintenzionato possa hackerare il tuo sistema. Supponiamo anche che le password vengano scelte casualmente da un set di caratteri di dimensioni 62.

Scenario 1: si utilizza una password di 9 caratteri per i sei mesi interi.

Scenario 2: si utilizza una password di 9 caratteri per i primi tre mesi e una password di 9 caratteri diversa per i restanti tre mesi.

Scenario 3: si utilizza una password di 10 caratteri per i sei mesi interi.

Nello Scenario 1 , un aggressore a forza bruta hackera il tuo account con certezza al 100%, se riesce a fare 62 ^ 9 tentativi in ​​quel momento.

Nello Scenario 2 , se riesce a fare solo (62 ^ 9) / 2 tentativi in ​​metà tempo (tre mesi), hackererà l'account con certezza del 50%. Nel secondo tempo, avrà un'altra possibilità con certezza del 50%. Quindi statisticamente, hackererà l'account con certezza del 75%.

Nello Scenario 3 , avrà 62 ^ 9 tentativi per i sei mesi interi. Ma ci sono 62 ^ 10 possibilità. Quindi hackererà l'account solo con 1/62 di certezza, cioè circa l'1,6%.

Quindi, se lasciamo fuori tutti gli altri fattori (come le password rubate e altri tipi di attacchi), la raccomandazione sarebbe quella di scegliere password più lunghe piuttosto che usare password più brevi (o più semplici), anche se cambiate più spesso. Soprattutto perché nello Scenario 3 ci sono solo 10 personaggi da ricordare, mentre nello Scenario 2 ci sono 18 personaggi.

Chris Lercher
fonte
2
+1, usa password molto lunghe. In realtà nessuno creerà una password di 18+ caratteri tra 6 mesi. Se vogliono davvero i tuoi dati così male, entrerebbero e ruberebbero il server.
Chris S,
Adoro questo, ben messo. Con le password ... le dimensioni contano.
Kara Marfia,
Quindi una buona password lunga dovrebbe andare bene per molto tempo. Penso che userò solo una buona password e farò un ciclo di 12 mesi. Questo mi darà una buona opportunità per documentare tutto ciò che sta per rompersi (purtroppo). Modifica: per bene intendo 16+ caratteri. Mi piace usare frasi che includono punteggiatura, spazi e tutto.
user24555
Rido sempre quando qualcuno parla di forzare brutalmente una password. Non succederà. Periodo. Solo l'NSA (o equivalente) o il crimine organizzato possono farlo, nel qual caso hai problemi molto più grandi che non possono comunque essere risolti con una buona password.
Dan Andreatta,
Aggiungendo al commento precedente, ho fatto un rapido calcolo matematico e ci vorrebbe circa 1 giorno per decifrare una password da 6 caratteri con un desktop moderno, il che porta a 10 anni per password da 8 caratteri. Le prestazioni per la crittografia provengono da speed test di openssl.
Dan Andreatta,
2

Siamo per lo più windows e ognuno degli amministratori ha il proprio account di amministratore di dominio e ci fidiamo solo di avere password complesse e di cambiarle di tanto in tanto. Sono sicuro che tutti hanno password complesse perché usiamo la pressione dei pari per assicurarci che siano lunghe e contengano numeri e / o caratteri, ma non le cambiamo abbastanza spesso. \

AGGIUNTO: Ormai, molte persone probabilmente hanno sentito questo, ma per ogni evenienza. L'esperto di crittografia e sicurezza Bruce Schneier afferma che dovresti avere password complesse e scriverle.

Ward: ripristina Monica
fonte
Come funziona quella pressione tra pari? Le persone possono vedere le reciproche password?
Bill Weiss,
2
In base alla mia esperienza, nessun utente può fidarsi di modificare la propria password da solo, nemmeno il personale IT.
ITGuy24
@Bill: ci sono solo 3 di noi, e abbiamo lavorato insieme per molto tempo, quindi la pressione dei pari è sulla falsariga di "Non ti ho visto digitare nessun numero in quel momento ..."
Ward - Reinstate Monica
Questo non si adatta molto bene :) Inoltre, prendere l'abitudine di guardare le persone che digitano le password dell'amministratore non andrà bene se vai su altri siti molto spesso.
Bill Weiss,
Che ne dici di avere qualcosa come un "barattolo di parolacce"? Se un altro amministratore riesce a rompere la tua password (usando qualcosa come ophcrack), devi mettere $ 5 nel piatto.
Nic,
1

Anche se teoricamente sarebbe molto meglio cambiare le password frequentemente, il fattore "scrivere-che-giù-su-un-post-it" aumenta esponenzialmente man mano che il periodo di validità si accorcia.

Se questo è solo per uso privato, perché non utilizzare l'autenticazione con chiave pubblica e avere solo una buona PW per il tuo portachiavi?

Alexander T
fonte
1
Questa domanda ha tonnellate di idee per la gestione delle password: serverfault.com/questions/21374/…
Ward - Reinstate Monica
1

Stai effettivamente parlando dell'account amministratore per il dominio (SID: S-1-5-21domain-500) o stai parlando dell'account amministratore che hai creato per te stesso in modo da poter ottenere utili registri su chi fa cosa?

Generalmente configurerò l'account Administrator in modo che abbia una password lunga (20+ caratteri) e memorizzerò la password in un luogo sicuro e non utilizzerò mai quell'account. In genere cambio solo quella password ogni anno o giù di lì. La nostra rete ha anche sistemi di blocco e tali che dovrebbero impedire che qualsiasi attacco remoto di forza bruta sia mai molto efficace. Dal momento che non utilizzo mai la password per le attività quotidiane, il probabile capuccio che viene intercettato è quasi inesistente.

Se stai parlando del mio account personale a cui ho concesso i privilegi di amministratore, tendo a cambiarlo ogni 6 mesi circa. Inoltre, tendo a utilizzare l'autenticazione basata su chiave ogni volta che è possibile, in modo che la mia password venga trasmessa molto raramente ovunque. Inoltre, generalmente non lavoro con quello che penso che la maggior parte delle persone considererebbe sistemi ad alto rischio.

Zoredache
fonte
Sto parlando dell'amministratore del dominio. Il mio account non fa parte del gruppo di amministratori di dominio. Penso che sarebbe una buona pratica smettere di usare l'amministratore di dominio originale e creare un amministratore di dominio secondario con un nome utente diverso.
user24555
0

Indipendentemente dalla complessità delle password che potresti impostare. È sempre buona norma cambiare la password ogni 30-42 giorni. 6 mesi è una password troppo vecchia. Ci dovrebbe sempre essere una buona politica di password implementata per rimanere al sicuro :-)

Vivek Kumbhar
fonte
4
Dove ti viene in mente "da 30 a 42 giorni"?
Bill Weiss,
È consigliabile che le password scadano ogni 30-90 giorni, a seconda del proprio ambiente. In questo modo, un utente malintenzionato ha un periodo di tempo limitato per decifrare la password di un utente e accedere alle risorse di rete. Predefinito: 42. Non le mie parole, prendendo da "Best Practices"
Vivek Kumbhar
1
Che ne dite di darci un link a un documento o riferimento in cui questo è dichiarato invece di ripetere semplicemente che è una "best practice". In genere mi rifiuto di considerare qualcosa come una buona pratica a meno che non sia pubblicata in una fonte affidabile.
Zoredache,
1
Vivek Kumbhar
Lo strumento di ricerca del mio browser deve essere danneggiato. Non vedo un "42" lì dentro.
Bill Weiss,
-1

Normalmente resetto le password di root solo dopo che un membro dello staff è partito ... ma incoraggio gli utenti con accesso sudo a modificarne la loro ogni 90 giorni.

Philip
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.