Ho riscontrato in diversi casi, costringere gli utenti a cambiare la propria password su base regolare diventa più un problema per la manutenzione piuttosto che un aiuto per la sicurezza. Inoltre, ho visto gli utenti scrivere le loro nuove password poiché non hanno abbastanza tempo per ricordare le loro password e non possono essere disturbati a riapprenderne un'altra.
Quali sono i vantaggi in termini di sicurezza per forzare un cambiamento nelle password?
Risposte:
Ecco un approccio diverso dal diario SANS:
Regole password: cambiali ogni 25 anni
C'è un vantaggio pratico. Se qualcuno ha la tua password e tutto ciò che desidera è leggere la tua e-mail e rimanere inosservato, può farlo per sempre, a meno che tu alla fine non modifichi il tuo segreto di accesso. Pertanto, cambiare regolarmente la password non aiuta molto contro qualcuno che si intromette e lo fa fuori con le tue merci, ma ti dà la possibilità di scrollarti di dosso qualsiasi stalker o ficcanaso che potresti avere accesso al tuo account. Sì, va bene. Ma se questo vantaggio da solo vale la seccatura e menzionato gli svantaggi di costringere gli utenti a cambiare la password ogni 90 giorni, ho i miei dubbi.
Forzare una modifica della password quando si indovina (eseguendo un programma di indovinare la password su tutti i tuoi utenti in ogni momento).
È difficile discutere con "devi cambiare la password" quando la risposta a "perché?" è "perché siamo riusciti a indovinarlo cieco". Premia automaticamente coloro che scelgono password difficili da indovinare e insegna ai tuoi utenti quali password sono deboli. Se scelgono "password1", scadranno prima di poter accedere una volta. Se un utente sceglie una password alfanumerica, casuale, mista, di 16 caratteri, non indovinerai mai e nessuno lo farà. Lasciateli tenerli per molto tempo e saranno anche in grado di memorizzarli.
È un compromesso. La necessità di frequenti cambi di password comporta password di qualità inferiore. C'è stata persino una ricerca in tal senso.
Detto questo, l'unico modo affidabile che ho trovato per impedire agli utenti di condividere le password è richiedere periodiche modifiche delle password. La mia esperienza dimostra che 90 giorni sembrano essere un discreto compromesso tra usabilità e sicurezza. Se vai più a lungo, le persone iniziano a fare affidamento su password condivise - prima e finisci con "November09", "December09".
La cosa peggiore di forzare un cambiamento nelle password non è che stai effettivamente inducendo le persone a cambiare le loro password. È che di solito viene fornito con un avviso minimo o nullo e vengono immediatamente colpiti da un problema che devono affrontare immediatamente, quindi invece di dare a qualcuno il tempo di pensare a una buona password è più probabile che sia uno che sia meno sicuro ma più facile da ricordare, o più sicuro, ma viene semplicemente annotato, annullando così il vantaggio di sicurezza.
Se le password sono sufficientemente complesse da non essere facilmente indovinabili e non sono condivise tra i sistemi ed è improbabile che siano state compromesse, probabilmente cambiare una password non è poi così importante.
Tuttavia, se dovesse verificarsi uno di questi, e i primi due sono probabilmente più comuni che no, forzare le persone a cambiare periodicamente la password significa che è meno probabile che condividano le password, almeno.
Detto questo, sceglierei di informare i tuoi utenti su cosa significhi una buona password e perché sia molto male condividerli. Annotarli è comune, qualunque cosa tu faccia.
Consiglio alle persone di scegliere una password da un libro che conoscono, ricordandone qualche citazione poco familiare o inventando una frase. Usa la prima lettera di ogni parola e aggiungi due numeri al suo interno da qualche parte. Molte persone possono ricordare che dopo averlo digitato alcune volte.
Non vedo alcun beneficio in quella pratica.
Una password complessa è molto più importante. Per forte intendo o 9+ simboli alfanumerici + speciali o una 15+ [az] -solo password / frase non-dizionario (questo si basa su un recente studio del costo della password per il bruteforcing usando l'EC2 di Amazon).
I sistemi con accesso remoto devono disporre di software di rilevamento e prevenzione della forza bruta (ad esempio fail2ban) su tutti i servizi esposti. Questo è molto più importante, IMO, rispetto alla normale politica di cambio password.
Il problema di base è che le password, come meccanismo di sicurezza, puzzano.
Se chiedi alle persone di cambiarle spesso, le scrivono. Se chiedi loro di usare password di 30 lettere con almeno 3 numeri, 4 lettere maiuscole e un carattere di controllo, le dimenticano o le scrivono o fanno altre cose stupide. Se sono semplici, gli utenti useranno password stupide come bunny7 o Bunny7. E useranno la stessa password errata per tutto, incluso il loro account porno e il loro account hotmail.
Mi piacciono gli strumenti come Mobile OTP , che consentono agli utenti di utilizzare il proprio telefono cellulare come strumento di autenticazione a due fattori.
A lungo termine, è probabile che atterreremo in qualche modo in un mondo con certificati crittografati come meccanismo di identificazione dell'utente. Cose come OpenID e CAS semplificano l'autenticazione dell'utente e consentono un comodo accesso singolo.
A lungo termine, la soluzione migliore è quella di ridurre il numero di volte in cui gli utenti devono emettere credenziali: eliminare la password "HR" e la password "scheda attività" e la password "CRM". Unificarli in un'infrastruttura di autenticazione comune che richiede agli utenti di emettere le proprie credenziali una volta. Quindi farli usare qualcosa come MobileOTP o RSA SecurID che utilizza l'autenticazione a due fattori.
A breve termine, le politiche sulle password saranno l'argomento delle guerre di religione. Fai semplicemente quello che ti chiede il tuo capo e, se sei il capo, usa il tuo giudizio basato sulla base di utenti e sul profilo di sicurezza previsto.
In bocca al lupo!
Questa pratica, che non è del tutto inutile, era molto più importante molto tempo fa. Il dibattito su questa politica è in realtà controproducente, in quanto distoglie l'attenzione dalle attuali minacce che sono molto più gravi.
Ritenere:
Se si utilizza Windows / AD e un account non ha la casella selezionata per "L'account è sensibile e non può essere delegato", tale account può essere utilizzato tramite la rappresentazione e non è richiesta alcuna password. Il codice per farlo è banale.
Se la workstation Windows di una persona è compromessa da una vulnerabilità di sicurezza, il token di sicurezza di Windows in memoria può essere utilizzato per accedere ad altri computer. Ancora una volta, nessuna password richiesta.
Il secondo, a proposito, è il motivo per cui dovresti accedere solo ai server utilizzando un account diverso dal tuo normale account utente giornaliero. Si noti inoltre che entrambi gli scenari sconfiggono completamente anche i più robusti meccanismi di autenticazione a due fattori.
La cosa migliore che potrebbe verificarsi per quanto riguarda la sicurezza delle password è di smettere di discuterne e concentrarsi sulle minacce più contemporanee e serie.
Maggiori informazioni:
Dai un'occhiata alla presentazione di Luke Jennings, "Un token per domarli tutti":
http://eusecwest.com/esw08/esw08-jennings.pdf
Insomnia Shell - esempio del codice richiesto per compromettere i token su un server ASP.Net:
http://www.insomniasec.com/releases/tools
Procedura: utilizzare la transizione di protocollo e la delega vincolata in ASP.NET 2.0
http://msdn.microsoft.com/en-us/library/ms998355.aspx
Cerca "senza password".
Più a lungo una password rimane invariata, maggiore è la probabilità che venga compromessa, semplicemente perché ci saranno più opportunità per le situazioni in cui potrebbe essere compromessa (dato un tempo infinito tutto è possibile). Inoltre rende più difficile cambiare in futuro poiché l'utente si sarà abituato a quello precedente. Un ulteriore rischio è che se viene compromesso e l'utente non è a conoscenza del fatto, è possibile che si verifichi un uso improprio in corso dell'account dell'utente. Le modifiche periodiche mitigheranno almeno il fatto che la successiva modifica della password forzata renderà inutile la password compromessa.
Nella mia esperienza, lo scenario più probabile che induca gli utenti a scrivere le password è una mancanza di pensiero congiunto nella tua infrastruttura di sicurezza, come avere più sistemi diversi, ognuno dei quali richiede il proprio nome utente e password univoci. Lancia 5 di quelli a un utente e otterrai una sindrome della nota adesiva gialla con una vendetta.
Una politica delle password ragionevole che consente agli utenti di scegliere password facili da ricordare ma difficili da decifrare, abbinata a una buona formazione degli utenti, una solida autenticazione integrata e politiche di blocco e scadenza decenti, il tutto supportato da un AUP che proibisce esplicitamente la condivisione delle password, è il modo migliore.
Se stai memorizzando nella cache le credenziali (cosa che la maggior parte delle persone fa per la disponibilità), questo è un must. Se un computer viene fisicamente rubato e viene abilitata la memorizzazione nella cache delle credenziali, il ladro può forzare la macchina a uscire dalla rete senza timore che il criterio di blocco dell'account venga attivato. Hanno quindi credenziali valide per le risorse di rete. La modifica di queste password a intervalli regolari può aiutare a ridurre al minimo questo danno.
Questo è il motivo esatto per cui non si accede mai con un account privilegiato, si accede sempre come utente limitato ed eleva richieste individuali, ciò impedisce che le credenziali privilegiate vengano forzate brutalmente in caso di furto / irruzione.
Sono nel campo di non aver mai richiesto modifiche alla password. O come dice l'articolo - ogni 25 anni - sì, allora sarò morto. Buona. Ecco perché ... Ho 12 password da ricordare nel mio lavoro. La maggior parte di essi cambia e quelli che cambiano hanno orari totalmente diversi. Tutti hanno requisiti di resistenza diversi. Come può un debole umano farcela? Ho visto diversi modi: scrivili su una lavagna bianca. Scrivili su un foglio e conservali in un cassetto sbloccato. o il mio metodo preferito: archiviarli in un foglio di calcolo di documenti Google abbastanza insicuro. Non è possibile convincermi che nessuno di questi metodi (che sono MOLTO comuni) non compensa totalmente i minuscoli vantaggi di sicurezza ottenuti richiedendo modifiche.
Ho tempo di scrivere questo post perché aspetto che qualcuno nel supporto IT sblocchi uno dei miei account. Apparentemente non ho aggiornato il mio foglio di calcolo correttamente l'ultima volta. Esiste uno studio che calcola i miliardi di dollari persi per questa assurdità?