Avendo appena ricevuto un'e-mail da un fornitore che ci informava che ci avrebbero costretto a cambiare la nostra password ogni sei mesi, sono curioso di vedere quali politiche di scadenza della password usano le persone e perché le usano.
Risposte:
C'è una linea sottile qui tra non cambiarlo mai e cambiarlo troppo spesso. Avere le stesse password per anni spesso non è una buona soluzione, soprattutto se è pubblicamente disponibile. Ma forzare una rigida politica di cambiarla troppo spesso ha anche effetti collaterali negativi. Un posto in cui ho lavorato ha costretto tutti gli utenti della rete interna a cambiare password ogni 6 settimane e il passowrd non poteva essere lo stesso delle sei password precedenti. Tre password errate hanno bloccato la workstation e lo staff IT ha dovuto sbloccarla. Il che ha portato tutti a scrivere la password sui post-it appesi sullo schermo o inseriti nel loro cassetto. Incubo.
Direi che cambiare la password una volta ogni 6 mesi dovrebbe essere sufficiente. Questo eviterà quelle temute note post-it.
Suggerirei di utilizzare un po 'di matematica che tenga conto della complessità minima della password, della velocità con cui un utente malintenzionato può indovinare le password, il numero di account sbloccati che hai e alcune informazioni informate sui tuoi rischi.
Spero che abbiate una sorta di limite di velocità per indovinare la password. In genere ciò avviene tramite qualcosa che blocca temporaneamente gli account dopo un certo numero di password errate.
E spero che abbiate una sorta di requisiti di complessità della password in modo che "A" e "password" non siano consentiti.
Supponiamo che dopo 30 errori di password in 10 minuti, si bloccherà un account per 20 minuti. Ciò limita efficacemente la percentuale di ipotesi della password a 174 all'ora o a 4176 al giorno. Ma supponiamo che sia per utente.
Supponiamo che tu abbia bisogno di password con più di 8 caratteri contenenti maiuscole e minuscole e un numero e che tu faccia alcuni controlli del dizionario per assicurarti che quelle password siano ragionevolmente casuali. Nel caso peggiore, tutti i tuoi utenti mettono quello in alto e un numero nello stesso posto e il tuo aggressore lo sa, quindi hai 10 * 26 ^ 7 (80G) possibili password. Il caso migliore è 62 ^ 8 (218T).
Quindi, un utente malintenzionato che prova tutte le password possibili li colpirebbe tutti entro 50.000 anni nel peggiore dei casi e quasi 600 milioni di millenni nel migliore dei casi. O, per dirla in altro modo, dato che un anno avrebbero avuto tra 1 su 50.000 e 1 su 52.000.000.000 di ipotesi. Se hai una base di utenti di 50.000 è quasi garantito che nel peggiore dei casi entrino in un account all'anno e hanno circa il 50% di possibilità di ottenere un account ogni 6 mesi.
E se non avessi limiti di velocità e un utente malintenzionato potesse indovinare un miliardo di password al giorno? Una possibilità su 600 di accedere a un account in un anno o una garanzia virtuale di ottenere circa 80 dei 50.000 utenti ogni anno.
Lavora su quella matematica e scopri dove si trova il tuo livello di rischio accettabile. E ricorda che più breve lo imposti, più difficile sarà per gli utenti ricordare e più è probabile che lo scriveranno in un posto conveniente per un aggressore in loco.
Come ulteriore vantaggio: se qualcuno sta provando migliaia di password per utente al giorno contro i tuoi sistemi, spero davvero che tu abbia una sorta di monitoraggio che lo rilevi.
EDIT: Ho dimenticato di menzionare: la nostra politica effettiva è di 90 giorni, ma questo ha tutto a che fare con i risultati di revisori della sicurezza sbagliati e nulla a che fare con la realtà.
90 giorni sembrano essere sufficienti per la maggior parte degli scenari. La mia più grande preoccupazione è la complessità della password. Più che il problema del periodo di tempo nella generazione delle note di post-it è la complessità forzata. Una cosa è evitare le parole del dizionario e un'altra per avere caratteri speciali, ma quando inizi a dire che nessun personaggio può ripetere o essere in ordine crescente / decrescente, hai reso difficile la vita dei tuoi utenti. Aggiungilo a una breve durata della password e hai appena accolto altri problemi.
La scadenza della password è fastidiosa e riduce la sicurezza.
La scadenza della password difende dalla situazione in cui un utente malintenzionato ha già compromesso la password di un utente una volta, ma non ha un meccanismo per scoprire di cosa si tratta in modo continuativo (ad esempio keylogger)
Tuttavia, rende anche più difficile ricordare le password, rendendo più probabile la scrittura da parte degli utenti.
Poiché non è davvero necessario difendersi da una password già compromessa (si spera), ritengo inutile la scadenza della password.
Chiedi agli utenti di scegliere una password complessa per cominciare; incoraggiarli a ricordarlo, quindi non richiedere loro di cambiarlo, mai, o finiranno per scriverli ovunque.
Se si dispone di un dispositivo che necessita di garanzie di sicurezza da "alta a ultra elevata", è meglio utilizzare un token hardware che generi password singole anziché fare affidamento sulla scadenza delle password.
La principale "vincita" per un sistema di scadenza della password è che alla fine avrai un account disabilitato se il titolare del conto lascia l'organizzazione, come un "controllo e saldo" extra a "l'account dovrebbe essere disabilitato quando il titolare del conto le foglie".
L'applicazione della scadenza della password porta, nel migliore dei casi, a password di alta qualità scritte e nel peggiore dei casi a password errate (in un posto di lavoro precedente, una volta che siamo stati costretti a utilizzare la scadenza della password, ho finito per usare il prefisso (essenzialmente) Jan2003, prefixFeb2003 e così via on, poiché il mio metodo preferito per generare password (48 bit casuali, con codifica Base64) non viene ridimensionato in "nuove password ogni mese").
Penso che se fai questa domanda a 10 diversi professionisti della sicurezza, otterrai 10 risposte diverse.
Ciò dipende in larga misura dalla criticità della risorsa protetta dalla password.
Se si dispone di un asset altamente sicuro, è necessario impostare la politica di scadenza della password in modo che sia sufficientemente breve da consentire a qualsiasi intruso esterno di avere il tempo di forzare una password. Un'altra variabile in questa situazione è il livello di complessità richiesto dalle password.
Per i sistemi di sicurezza medio-bassi, credo che una politica di scadenza di 6 mesi sia molto corretta.
Per la sicurezza di alto livello penso che un mese sarebbe meglio - e per installazioni "ultra" sicure ci si aspetterebbe anche periodi di tempo più brevi.
Facciamo rispettare una scadenza della password di 90 giorni su tutti qui (incluso noi stessi).
Soprattutto perché sono semplicemente le migliori pratiche. Le probabilità che qualcuno usi una password "debole", rispetto a una più forte è maggiore e più a lungo la lasci la stessa si tradurrebbe probabilmente in una violazione della sicurezza a lungo termine e non rilevata.
Scadiamo le password ogni anno e richiediamo password complesse (preferibilmente casuali) più lunghe di 10 caratteri. Eseguiamo attacchi con dizionario alle password delle persone quando le cambiano. Manteniamo gli hash delle password precedenti in modo che le password non possano essere riutilizzate. Controlliamo anche le potenziali date nella password come ha detto Vatine. ;) L'ultima è stata la mia aggiunta ...
In un precedente lavoro, abbiamo provato a scadere più frequentemente su richiesta di un nuovo amministratore della sicurezza di rete - ogni due mesi. Due settimane dopo il primo cambiamento forzato, l'ho portato nei nostri uffici amministrativi e abbiamo guardato sotto le tastiere e i mousepad della gente. Oltre il 50% di loro aveva una password scritta su un post-it sottostante. Era felice di allentare la politica dopo che ci siamo seduti e abbiamo parlato con il personale amministrativo - la loro opinione era che non avevano abbastanza tempo per memorizzare.
La maggior parte delle nostre cose in questi giorni è single sign-on in pochi silos. Le risorse del campus (utilizzate raramente per la maggior parte delle persone) si trovano in un unico silo e tale password è gestita dal nostro gruppo IT centrale. Le risorse dipartimentali (utilizzate quotidianamente - accesso alla macchina, e-mail, modifica del sito Web, fotocopiatrice) è una password gestita dal nostro gruppo, anch'essa scaduta annualmente. Se le persone lamentano di essere frustrate, segnaliamo che hanno davvero solo una password da ricordare.
In questi giorni, ho generato un md5sum su un file casuale in / var / log e ne uso un sottoinsieme per le mie password.
Abbiamo discusso molto su questo un paio di anni fa quando abbiamo avviato una politica di scadenza della password. Avevamo appena terminato una corsa con arcobaleno con tavoli arcobaleno contro l'albero di AD per vedere quanto fosse brutto ed era piuttosto orribile. Un numero esagerato di utenti ha ancora usato la propria password "helpdesk temp" dopo aver chiamato / visualizzato per reimpostare la password, qualcosa di orribile come il 30% ha usato "password" o qualche variante come password (p @ $$ w0rd, ecc.) . Quel management convinto che ciò doveva accadere.
Essendo più alti, abbiamo avuto l'estate con cui confrontarci quando abbiamo selezionato un intervallo. Molti dei nostri docenti non insegnano durante l'estate, quindi il nostro helpdesk ha dovuto prepararsi per le chiamate "Ho dimenticato la password" dato che tornano tutti a settembre. Penso, e potrei sbagliarmi, che il nostro intervallo è di 6 mesi con un'eccezione nel trimestre estivo. Quindi se la scadenza della tua password 6mo scade a metà agosto, verrebbe riprogrammata in modo casuale per reimpostare da fine settembre a inizio ottobre.
Una domanda migliore è la frequenza con cui vengono ruotate le password dell'account di utilità e dell'amministratore. Troppo spesso quelli sembrano essere esentati dalle politiche di cambio password. Chi vuole esaminare tutti quegli script per cambiare la password dell'account di utilità? E alcuni sistemi di backup rendono difficile cambiare le password usate, il che costituisce un disincentivo a cambiare le password dell'amministratore.
Un grave problema con la scadenza della password frequente è che le persone faranno fatica a ricordarle, quindi avrai persone che usano password deboli o simili, o se la tua politica non lo consente, inizieranno a scrivere le password per aiutarti a ricordarle . Avrai anche più richieste di modifica della password, quando le persone le dimenticano.
Personalmente, dipende dal motivo per cui viene utilizzata la password, ma tendo a non conservare la password per più di 3 mesi, a meno che non sia un account usa e getta completo. Per cose a rischio più elevato, ogni mese circa va bene, e cambiarlo con aria di sfida se qualcun altro che lo sa se ne va. Poiché lavoro in una piccola azienda di supporto informatico, disponiamo di più password condivise tra molte persone, quindi non vogliamo cambiarle molto spesso, a causa dell'interruzione che può causare.
Commenti interessanti finora. Ovviamente perché è sempre dibattuto che ricordare le password sia un problema tecnico rispetto a non tecnico in un'azienda? Cosa c'entra la capacità di qualcuno con l'hardware / software del computer con la sua capacità di prendere sul serio la sicurezza? Una persona non tecnica distribuirà la propria carta di credito o PIN di addebito? Inoltre, le persone che inseriscono le password sui post-it sulla propria scrivania dovrebbero essere motivo di licenziamento. È sorprendente come la memoria delle persone migliorerà quando si renderanno conto che la sicurezza è importante e deve essere presa sul serio. Non vedo diversamente il ruolo dei codici di abbigliamento e delle politiche sul lavoro. Segui le regole o arrivederci!
Penso che avere un più sicuro password sia molto più importante che cambiarla frequentemente, ma entrambi sono sicuramente necessari per un sistema sicuro.
L'argomento sostiene che le password complesse sono difficili da ricordare e portano i dipendenti a scriverle. Ritengo che la stragrande maggioranza degli attacchi provenga dall'esterno e persino scrivere una password complessa e registrarla sul monitor è più sicuro che memorizzare una semplice password.
Sto implementando l'autenticazione one-time pad e time-token, quindi, in teoria, ogni volta che l'utente accede.
Anche se questo è probabilmente fuori tema, un blocco una tantum sembra essere una soluzione superiore.
Allo stesso modo, e più sostanzialmente, garantire che l'utente crei una password complessa e comprenda l'etica alla base della politica di sicurezza (non scriverla, non renderla il tuo compleanno, non consegnarla a nessuno) andrà molto più lontano del semplice forzarli a cambiarlo ogni ennesimo intervallo basato sul tempo.