Devo forzare i miei utenti a cambiare password ogni n giorni / settimane / mese?

La domanda dice tutto. Stiamo progettando un sistema in cui la sicurezza è molto importante. Una delle idee che qualcuno aveva era di costringere gli utenti a cambiare password ogni 3 mesi. La mia opinione è che, sebbene sia più sicuro perché la password cambia spesso, costringe anche i nostri utenti a ricordare di aver cambiato password e rende più possibile che la scriveranno da qualche parte per ricordare.

Nella stessa idea è davvero bello costringere gli utenti a usare una password super difficile da indovinare. Forzali a usare?% &% E lettere minuscole maiuscole. So che è abbastanza seccante inventare una tale password e poi ricordarla.

Quindi non vogliamo che nessuno usi 12345.

Così. Ci sono dei white paper su questo argomento? Buona pratica?

Sto parlando di un sito web creato con PHP. MySQL in un ambiente lampada se questo cambia qualcosa.

Penso che potrei essere in minoranza su questo (in base alla mia esperienza limitata con i dipartimenti IT a scuola e al lavoro), ma penso che le politiche obbligatorie, basate sul tempo, siano inutili e dannose nel peggiore. Le persone tendono ad essere molto cattive nello scegliere buone password e mantenerle segrete. Le politiche di scadenza della password sono progettate per mitigare ciò limitando il tempo in cui una password può essere violata / social engineering / rubata; tuttavia, in pratica non riescono a raggiungere questo obiettivo, principalmente perché costringono gli utenti a riapprendere la password su base continua. Rendendo più difficile per l'utente il commit delle loro password in memoria, si finisce per indurre molti di loro a scegliere password più deboli e / o scrivere le loro password in un posto dove gli occhi indiscreti possono trovarle.

Inoltre, quando sono costretti a cambiare la propria password su base regolare, molti utenti sceglieranno password che seguono un modello molto riconoscibile, come ad esempio [base string][digit]. Supponiamo che un utente desideri utilizzare il nome del proprio gatto Fluffy come password. Si potrebbe iniziare con una password di fluffy, quindi cambiare a fluffy1, fluffy2, fluffy3e così via. In questo caso, la politica non aiuta davvero la sicurezza; anche se l'utente sceglie una stringa di base più sicura rispetto a fluffy, e anche se mantiene la propria password memorizzata in modo sicuro, il singolo carattere suffisso che cambia ogni pochi mesi fa ben poco per mitigare gli attacchi di cracking o di ingegneria sociale.

Vedi anche: Scadenza della password considerata dannosa , un breve articolo (non scritto da me) che penso dia una buona introduzione a questi problemi.

La mia grande organizzazione (oltre 15000 utenti) ha implementato "modifiche della password" ogni 120 giorni nell'autunno del 2009. È un enorme mal di testa IT e uno spreco di risorse di supporto. Ogni volta che viene visualizzata la finestra di 120 giorni, migliaia di utenti sono costretti a modificare la propria password .... che molti di loro fanno in modo errato e bloccano il proprio account .... o dimenticano il giorno successivo. Il nostro helpdesk viene invaso da chiamate con password anche se abbiamo cercato di renderlo il più self-service possibile.

Se vuoi che i tuoi utenti / clienti ti odino ... e il tuo personale IT di prima linea ti bruci in effigie ogni possibilità che ottengono ... implementa le modifiche della password.

I criteri di modifica della password sono una casella di spunta in alcuni responsabili IT su come prenotare da qualche parte ... ed è stato scritto 15 anni fa. Nessuno nelle trincee che effettivamente implementa o sostiene la politica ti dirà mai che è una buona idea.

Ho discusso qui per "passphrase" invece di password ... un sacco di cose buone che hanno fatto ... quella luce alla fine del tunnel era un treno in arrivo. :)

Una passphrase è una stringa lunga quasi inarrivabile che è molto facile da ricordare come "MyCatIsFromSpainAndICallHimElGato". O forse una frase di una poesia o di una canzone.

Se vuoi rendere davvero difficile risolvere il problema .... scherza con il caso, aggiungi un po 'di punteggiatura, cambia alcuni in ells, ohs in zeri, a in @, ecc ... Ma tienilo a mente ... .questa è la chiave. Ci sono anche modi per raccoglierli in modo che scorrano facilmente dalle dita alla tastiera .... quindi non rimbalzare dappertutto tra le mani o con MAIUSC e punteggiature strane.

Così...

• Usa lunghe "frasi".
• Provali internamente per forza.
• Implementa il "single sign-on" nell'intera infrastruttura in modo che i clienti debbano utilizzarlo solo una o due volte al giorno.
• Non forzarli mai a cambiarlo.
• Ed educare, educare, educare sul loro uso corretto.

opaco

EDIT: 24/08/2011 XKCD è d' accordo e lo ha detto meglio di me.

No. La mia opinione personale è che non è necessario e persino controproducente . Ho scritto sul mio blog, ma puoi cercarlo se ti interessa.

In breve, si riduce a due motivi:

1. Forzare un utente a cambiare costantemente la propria password porta a password errate.

Non mancheranno prove aneddotiche su questo, ma ha senso che se sono costretto a ricordare una cosa nuova ogni x giorni, renderò queste cose facili da ricordare e probabilmente correlate tra loro.

Gli utenti hanno molte più probabilità di scegliere password "indovinabili" come "Jan2010" o "Password05" se sanno che dovranno cambiare presto. L'applicazione di una rigorosa politica sui personaggi può comportare solo un punto esclamativo aggiunto o un nome completo anziché un'abbreviazione. C'è una grande differenza tra una password tecnicamente complessa e una password che non verrà indovinata.

2. Forzare regolari cambi di password non impedisce gli attacchi, riduce solo i rischi (e non di molto)

Pensaci: se la tua password viene indovinata o scoperta in qualche modo, quanto tempo impiegherebbe un utente malintenzionato a utilizzare tali informazioni? Mettiti nei panni dell'attaccante. Hai appena scoperto una password. Non effettueresti l'accesso ed estrarresti immediatamente tutte le informazioni che potresti scoprire nel caso qualcuno lo scoprisse? In 30 giorni hai già tutto quello che vuoi.

La mia raccomandazione:

• Forza una politica password estremamente rigida (come 15 caratteri con lettere maiuscole, minuscole, numeri e caratteri speciali, senza parole inglesi> 3 caratteri)
• Non fare mai cambiare la password all'utente. Se devono scrivere la password su un pezzo di carta e tenerlo nel loro portafoglio, in realtà va bene. Le persone sono brave a proteggere pezzi di carta, ma non così bene a ricordare stringhe casuali di personaggi.

Dal punto di vista di un utente, dover cambiare la mia password è incredibilmente scomodo. Odio assolutamente doverlo fare e utilizzerò a malincuore siti di cui ho assolutamente bisogno se mi richiedono di cambiare la mia password.

Si è anche discusso se questa è davvero una buona pratica, dal momento che alcune persone finiscono per scrivere le proprie password per ricordarle.

Potresti implementare uno di quei widget che mostrano alle persone quanto è forte (o debole) la loro password mentre la stanno compilando - Trovo che siano (sorta) utili, anche se non so se si traducono effettivamente in più forti Le password.

Come utente di un ambiente di politica password piuttosto rigoroso ("password super difficili da indovinare" e che cambia password allo stesso modo) la mia opinione è che è necessaria solo la password complessa. Anche se ci vorrà un po 'prima che i tuoi utenti si abituino (specialmente se sono il tipo 12345 di utenti), dovrebbero essere in grado di richiamarlo e digitarlo facilmente entro una settimana.

Tuttavia, posso prevedere gli utenti finali a disagio se si dispone di password così forti E costringendoli a cambiare.

Dal punto di vista dell'amministrazione IT, l'opzione migliore è studiare la possibilità di consentire all'applicazione di utilizzare le funzionalità di single sign-on dello schema di autenticazione esistente utilizzato dai clienti. Ovviamente Active Directory è un grande player, ma se la tua applicazione funziona con la politica che l'IT in loco ha già configurato, non devi preoccuparti di reinventare la ruota.

Dal momento che sono sorti molti dibattiti sull'opportunità o meno di modificare le password forzate (anche se penso che fosse secondario alla tua domanda principale), ho pensato che potresti apprezzare alcune delle idee e dei link qui . Per la maggior parte delle situazioni, se non si impone la complessità della password e il programma di modifica, è possibile che non si disponga affatto di password, ma il modo in cui viene implementato (formazione, supporto di gestione, ecc.) È più importante di quanto io possa sottolineare.

La modifica delle password può spesso portare l'utente a scriverle. Che non è una cattiva idea secondo Bruce Schneier ( http://www.schneier.com/blog/archives/2005/06/write_down_your.html ).

Direi anche che avere la sicurezza che impedisce l'usabilità a volte può essere una buona cosa, solo perché ricorda all'utente di agire in modo sicuro. Ad esempio, nella banca in cui lavoro, molte delle misure di sicurezza in atto sono teatro della sicurezza (ad esempio il riconoscimento facciale alla porta, ma l'addetto alla sicurezza ti aprirà la porta se il riconoscimento fallisce). Sebbene tali misure non migliorino la sicurezza da sole, sono sempre lì a ricordarci che la sicurezza è un aspetto importante sul lavoro, che c'è una certa quantità di registrazione e controllo in corso e che se vieni sorpreso a fare qualcosa di "insicuro", sarà nei guai.

Naturalmente, questo vale per la sicurezza dei dipendenti di una banca, potrebbe non essere applicabile agli utenti del tuo sito Web ...

Dovresti forzare i tuoi utenti a cambiare ogni n giorni se la tua politica di sicurezza lo richiede. Lavoro per un'agenzia statale, e questo è un requisito imposto dall'ufficio del Revisore dei conti. Non posso farci niente, quindi devo forzare i cambiamenti.

Se non sei vincolato dal regolamento a forzare le modifiche della password, non forzarle. Assicurarsi che le password impostate soddisfino determinati requisiti minimi di complessità. La lunghezza supera la complessità per la maggior parte dei sistemi di password, quindi secondo me uno standard variabile è il caso migliore. Ad esempio:

• Nessuna password deve contenere meno di 10 caratteri.
• Le password tra 10 e 25 caratteri richiedono almeno 3 set di caratteri.
• Le password tra 25 e 40 caratteri richiedono almeno 2 set di caratteri.
• Le password più lunghe di 40 caratteri possono utilizzare un singolo set di caratteri.

Gli schemi di complessità integrati per cose come Active Directory non supportano questo tipo di sistema a livelli. Se crei il tuo ambiente di modifica password, puoi fare cose come questa. Poiché ogni utilizzo del tasto Maiusc aumenta la probabilità di un evento fat-finger, le password lunghe con più set di caratteri hanno MOLTO più probabilità di incorrere in eventi di accesso non riuscito, soprattutto durante le fasi di apprendimento. Se si dispone di un sistema di blocco degli account, questo può essere un grosso problema. Per la persona che usa la terza riga della sua poesia preferita (63 caratteri!) Come passphrase, non dovendo h @ x0r, rende l'ingresso veloce ed efficiente.

Se la tecnologia o l'ambiente di rischio cambiano in modo significativo e le password non sono così complesse come dovrebbero essere, fare in modo che le password scadano per un periodo di tempo. Le persone si lamenteranno della necessità, soprattutto se non hai mai forzato un cambiamento prima, ma ti aiuterà a mantenere la tua posizione di sicurezza.

Le password difficili da indovinare sono una buona cosa. Applicare livelli di complessità che portano gli utenti a dimenticare le proprie password o a doverle scrivere è una cosa negativa, poiché qualsiasi sicurezza acquisita dalla complessità viene completamente persa nel processo. In un mondo ideale (che purtroppo non è dove viviamo) dovrebbe esserci un equilibrio tra complessità e usabilità. Ovviamente persone diverse vedranno quel punto di equilibrio in luoghi diversi.

La logica dietro la modifica regolare delle password in X giorni è un po 'persa per me. Il motivo che di solito sento per questo è limitare l'utilità di una password rubata, alla quale rispondo che qualsiasi danno reale sarà quasi certamente fatto entro le prime ore comunque. es. Fred "viene a conoscenza della" password di Mary. A meno che ciò non accada quasi nello stesso momento in cui Mary sta cambiando quella password, che differenza fa se viene cambiata domani o il mese prossimo? È davvero probabile che Fred aspetterà un'altra settimana o due prima di utilizzare la password (supponendo che lo scopo fosse sempre)?

Ovviamente cambiare password se c'è qualche motivo o sospetto che possa essere necessario è tutta un'altra cosa.

Se l'applicazione necessita di un livello di sicurezza così elevato, hai preso in considerazione l'utilizzo di token SecurID? Ciò significa che l'utente riceve una nuova password ogni 60 secondi; non devi preoccuparti di loro usando la scrittura delle password. Tuttavia, questi costano denaro. Quanto deve essere sicura la soluzione?

Penso che le informazioni per gli utenti siano importanti. Spiega loro come creare una password e quanto sia importante non utilizzare la stessa password due volte. Un modo semplice per creare una password è prendere una frase e prendere la prima lettera in ogni parola e aggiungere alcuni numeri.

Ex. Mi piace governare il mondo = Iltrw99

Non forzarli a cambiare la password, li confonderà soltanto.

Anche se non sono d'accordo con la modifica delle password ogni tre mesi, questo è un requisito se la tua azienda è quotata in borsa e fa parte della conformità SOX. Nota a margine: Sarbanes-Oxley fa schifo.

Qualcosa che non ho visto menzionato è l'accesso esterno alle risorse.

Tendo a concordare sul fatto che se si sceglie una politica di password ragionevole, a meno che qualcuno non la scriva nessuno è probabile che indovini quella password.

Tuttavia supponiamo che tu abbia la webmail accessibile fuori sede, ora potenzialmente hai utenti che digitano le loro credenziali su "qualsiasi vecchio PC" e IMO che aumenta il rischio per i tuoi dati aziendali rappresentato da spyware / malware / trojan e così via che possono annusare / rubare quelle password .

Se le persone scrivono password semplici, ciò che ti fa pensare che non scriveranno una passphrase enorme o una password super complicata. Ciò che consente di apportare modifiche incrementali alla password è l'eliminazione dell'ID utente non più utilizzata automaticamente e consente al singolo utente di avere una certa responsabilità in tutto ciò. Le persone saranno persone, in cerca della strada facile per realizzare qualcosa; password ripetute e password modificate in modo incrementale possono essere rilevate e negate. I requisiti di complessità possono essere rafforzati, le modifiche forzate della password possono anche aprire gli occhi agli utenti non IT per la loro responsabilità in tutto questo. La maggior parte degli utenti che si lamentano della modifica della password sono i più pigri che fingono che cambiare la loro password sia come un intervento a cuore aperto. Smetti di piagnucolare, sii responsabile e smetti di cercare una strada facile,