90-dni jest dobrą ogólną najlepszą praktyką do zmiany haseł.
Warner,
W Uniksie możesz używać narzędzia takiego jak sudo, co oznacza, że niektórzy użytkownicy mogą otrzymać przywileje root na krótki czas. Nie muszą znać hasła roota. W rzeczywistości możesz uciec od braku jednego zestawu lub jego znajomości. W takim przypadku nie musisz go zmieniać. Użytkownicy będą jednak musieli zmienić własne hasła.
Matt
O Boże, po przeczytaniu wszystkich tych postów, wiem na pewno, że istnieje jedna domena, w której czasami pracuję (w której nie jestem administratorem systemu, ale mam konto administratora), w której administratorhasło było takie samo od 7 lat, i ma tylko 8 znaków. Może wyślę im wiadomość e-mail ...
Mark Henderson
Odpowiedzi:
9
Zróbmy szybkie obliczenia (i zapomnijmy na chwilę o najlepszych praktykach):
Załóżmy, że atakujący włamie się do systemu na sześć miesięcy. Załóżmy również, że hasła są wybierane losowo z zestawu znaków o rozmiarze 62.
Scenariusz 1: Używasz 9-znakowego hasła przez całe sześć miesięcy.
Scenariusz 2: Używasz 9-znakowego hasła przez pierwsze trzy miesiące, a innego 9-znakowego hasła dla pozostałych trzech miesięcy.
Scenariusz 3: Używasz 10-znakowego hasła przez całe sześć miesięcy.
W scenariuszu 1 atakujący brutalną siłą włamuje się na twoje konto ze 100% pewnością, jeśli uda mu się wykonać 62 ^ 9 prób w tym czasie.
W scenariuszu 2 , jeśli uda mu się wykonać tylko (62 ^ 9) / 2 próby w połowie czasu (trzy miesiące), zhakuje konto z 50% pewnością. W drugiej połowie dostanie kolejną szansę z 50% pewnością. Więc statystycznie zhakuje konto z 75% pewnością.
W scenariuszu 3 będzie miał 62 ^ 9 prób przez całe sześć miesięcy. Ale są 62 ^ 10 możliwości. Więc zhakuje konto tylko z 1/62 pewnością, czyli około 1,6%.
Jeśli więc pomijamy wszystkie inne czynniki (takie jak skradzione hasła i inne rodzaje ataków), zaleca się raczej wybranie dłuższych haseł niż używanie krótszych (lub prostszych) haseł, nawet jeśli są one częściej zmieniane. Zwłaszcza, że w Scenariuszu 3 jest tylko 10 znaków do zapamiętania, podczas gdy w Scenariuszu 2 jest to 18 znaków.
+1, używaj bardzo długich haseł. W rzeczywistości nikt nie złamie hasła 18+ znaków w ciągu 6 miesięcy. Jeśli naprawdę chcą twoich danych tak bardzo, po prostu włamują się i kradną serwer.
Chris S
Uwielbiam to, dobrze powiedziane. Z hasłami ... rozmiar ma znaczenie.
Kara Marfia
Tak więc dobre długie hasło powinno dobrze sobie radzić przez dość długi czas. Myślę, że użyję dobrego hasła i zrobię 12-miesięczny cykl. To da mi dobrą okazję do udokumentowania wszystkiego, co się zepsuje (niestety). Edycja: Przez dobre mam na myśli ponad 16 znaków. Lubię używać zdań zawierających interpunkcję i spacje.
user24555
Zawsze chicham, gdy ktoś mówi o brutalnym wymuszaniu hasła. To się nie stanie. Kropka. Tylko NSA (lub odpowiednik) lub przestępczość zorganizowana może to zrobić, w którym to przypadku masz znacznie większe problemy, których nie da się rozwiązać za pomocą dobrego hasła.
Dan Andreatta
Dodając do poprzedniego komentarza, zrobiłem szybką matematykę, a złamanie hasła 6 znaków na nowoczesnym pulpicie zajęłoby około 1 dnia, co prowadzi do 10 lat dla hasła 8 znaków. Wydajność szyfrowania, jeśli pochodzi z testu szybkości openssl.
Dan Andreatta
2
Przeważnie jesteśmy oknami, a każdy z administratorów ma swoje własne konto administratora domeny i ufamy sobie nawzajem, że mamy silne hasła i zmieniamy je co jakiś czas. Jestem pewien, że wszyscy mają silne hasła, ponieważ używamy presji otoczenia, aby upewnić się, że są długie i zawierają liczby i / lub znaki, ale nie zmieniamy ich wystarczająco często. \
DODANO: Do tej pory większość ludzi prawdopodobnie to słyszało, ale na wszelki wypadek. Bruce Schneier, ekspert ds. Szyfrowania i bezpieczeństwa, mówi, że powinieneś mieć silne hasła i zapisać je.
Jak działa presja rówieśnicza? Czy ludzie mogą widzieć swoje hasła?
Bill Weiss,
2
Z mojego doświadczenia wynika, że nie można ufać każdemu użytkownikowi, aby sam zmienił hasło, nawet personel IT.
ITGuy24
@ Bill: jest nas tylko troje i pracowaliśmy razem od dawna, więc presja otoczenia jest taka sama, jak w przypadku „Nie widziałem, żebyś wtedy wpisywał liczby…”
Totem - Przywróć Monikę
To nie skaluje się zbyt dobrze :) Również nawyk patrzenia, jak ludzie wpisują hasła administratora, nie pójdzie dobrze, jeśli będziesz często odwiedzać inne witryny.
Bill Weiss,
Co powiesz na coś w rodzaju „przekleństwa”? Jeśli innemu administratorowi uda się złamać twoje hasło (używając czegoś takiego jak ophcrack), musisz włożyć 5 $ do puli.
Nic
1
Chociaż teoretycznie znacznie lepiej byłoby często zmieniać hasła, współczynnik „piszmy to na post-it-it” rośnie wykładniczo w miarę skracania się okresu ważności.
Jeśli jest to tylko do użytku prywatnego, dlaczego nie skorzystać z uwierzytelniania za pomocą klucza publicznego i mieć po prostu dobrą PW dla swojego klucza?
Czy faktycznie mówisz o koncie administratora dla domeny (SID: S-1-5-21domain-500), czy mówisz o utworzonym dla siebie koncie administratora, aby uzyskać przydatne dzienniki dotyczące tego, kto co robi?
Zasadniczo skonfiguruję konto administratora, aby mieć długie (ponad 20 znaków hasło) i przechowywać hasło w bezpiecznej lokalizacji i nigdy nie używać tego konta. Zasadniczo zmieniam to hasło co roku. Nasza sieć ma również systemy blokujące, które powinny zapobiegać bardzo skutecznym atakom z użyciem siły zdalnej. Ponieważ nigdy nie używam hasła do codziennych zadań, prawdopodobne jest, że hasło do niego przechwycone prawie nie istnieje.
Jeśli mówisz o moim koncie osobistym, któremu nadałem uprawnienia administratora, zwykle zmieniam go co 6 miesięcy. W miarę możliwości używam również uwierzytelniania opartego na kluczach, więc moje hasło jest bardzo rzadko przekazywane w dowolnym miejscu. Nie pracuję też ogólnie z tym, co według mnie większość ludzi uważa za systemy wysokiego ryzyka.
Mówię o administratorze domeny. Moje własne konto nie należy do grupy administratorów domeny. Myślę, że dobrą praktyką byłoby zaprzestanie używania oryginalnego administratora domeny i utworzenie dodatkowego administratora domeny z inną nazwą użytkownika.
user24555
0
Bez względu na to, jak skomplikowane hasła możesz ustawić. Dobrą praktyką jest zmiana hasła co 30 do 42 dni. 6 miesięcy to zdecydowanie stare hasło. Zawsze powinna być wdrożona dobra polityka haseł, aby zachować bezpieczeństwo :-)
Najlepszą praktyką bezpieczeństwa jest wygasanie haseł co 30 do 90 dni, w zależności od środowiska. W ten sposób atakujący ma ograniczony czas na złamanie hasła użytkownika i dostęp do zasobów sieciowych. Domyślnie: 42. Nie moje słowa,
wzięte
1
Co powiesz na podanie nam linku do dokumentu lub odniesienia, w którym jest to zaznaczone, zamiast powtarzania, że jest to „najlepsza praktyka”. Zasadniczo odmawiam uważania czegoś za najlepszą praktykę, chyba że zostanie opublikowana w wiarygodnym źródle.
administratorhasło było takie samo od 7 lat, i ma tylko 8 znaków. Może wyślę im wiadomość e-mail ...Odpowiedzi:
Zróbmy szybkie obliczenia (i zapomnijmy na chwilę o najlepszych praktykach):
Załóżmy, że atakujący włamie się do systemu na sześć miesięcy. Załóżmy również, że hasła są wybierane losowo z zestawu znaków o rozmiarze 62.
Scenariusz 1: Używasz 9-znakowego hasła przez całe sześć miesięcy.
Scenariusz 2: Używasz 9-znakowego hasła przez pierwsze trzy miesiące, a innego 9-znakowego hasła dla pozostałych trzech miesięcy.
Scenariusz 3: Używasz 10-znakowego hasła przez całe sześć miesięcy.
W scenariuszu 1 atakujący brutalną siłą włamuje się na twoje konto ze 100% pewnością, jeśli uda mu się wykonać 62 ^ 9 prób w tym czasie.
W scenariuszu 2 , jeśli uda mu się wykonać tylko (62 ^ 9) / 2 próby w połowie czasu (trzy miesiące), zhakuje konto z 50% pewnością. W drugiej połowie dostanie kolejną szansę z 50% pewnością. Więc statystycznie zhakuje konto z 75% pewnością.
W scenariuszu 3 będzie miał 62 ^ 9 prób przez całe sześć miesięcy. Ale są 62 ^ 10 możliwości. Więc zhakuje konto tylko z 1/62 pewnością, czyli około 1,6%.
Jeśli więc pomijamy wszystkie inne czynniki (takie jak skradzione hasła i inne rodzaje ataków), zaleca się raczej wybranie dłuższych haseł niż używanie krótszych (lub prostszych) haseł, nawet jeśli są one częściej zmieniane. Zwłaszcza, że w Scenariuszu 3 jest tylko 10 znaków do zapamiętania, podczas gdy w Scenariuszu 2 jest to 18 znaków.
źródło
Przeważnie jesteśmy oknami, a każdy z administratorów ma swoje własne konto administratora domeny i ufamy sobie nawzajem, że mamy silne hasła i zmieniamy je co jakiś czas. Jestem pewien, że wszyscy mają silne hasła, ponieważ używamy presji otoczenia, aby upewnić się, że są długie i zawierają liczby i / lub znaki, ale nie zmieniamy ich wystarczająco często. \
DODANO: Do tej pory większość ludzi prawdopodobnie to słyszało, ale na wszelki wypadek. Bruce Schneier, ekspert ds. Szyfrowania i bezpieczeństwa, mówi, że powinieneś mieć silne hasła i zapisać je.
źródło
Chociaż teoretycznie znacznie lepiej byłoby często zmieniać hasła, współczynnik „piszmy to na post-it-it” rośnie wykładniczo w miarę skracania się okresu ważności.
Jeśli jest to tylko do użytku prywatnego, dlaczego nie skorzystać z uwierzytelniania za pomocą klucza publicznego i mieć po prostu dobrą PW dla swojego klucza?
źródło
Czy faktycznie mówisz o koncie administratora dla domeny (SID: S-1-5-21domain-500), czy mówisz o utworzonym dla siebie koncie administratora, aby uzyskać przydatne dzienniki dotyczące tego, kto co robi?
Zasadniczo skonfiguruję konto administratora, aby mieć długie (ponad 20 znaków hasło) i przechowywać hasło w bezpiecznej lokalizacji i nigdy nie używać tego konta. Zasadniczo zmieniam to hasło co roku. Nasza sieć ma również systemy blokujące, które powinny zapobiegać bardzo skutecznym atakom z użyciem siły zdalnej. Ponieważ nigdy nie używam hasła do codziennych zadań, prawdopodobne jest, że hasło do niego przechwycone prawie nie istnieje.
Jeśli mówisz o moim koncie osobistym, któremu nadałem uprawnienia administratora, zwykle zmieniam go co 6 miesięcy. W miarę możliwości używam również uwierzytelniania opartego na kluczach, więc moje hasło jest bardzo rzadko przekazywane w dowolnym miejscu. Nie pracuję też ogólnie z tym, co według mnie większość ludzi uważa za systemy wysokiego ryzyka.
źródło
Bez względu na to, jak skomplikowane hasła możesz ustawić. Dobrą praktyką jest zmiana hasła co 30 do 42 dni. 6 miesięcy to zdecydowanie stare hasło. Zawsze powinna być wdrożona dobra polityka haseł, aby zachować bezpieczeństwo :-)
źródło
Zwykle resetuję hasła roota tylko po odejściu członka personelu ... ale zachęcam użytkowników z dostępem sudo do zmiany hasła co 90 dni.
źródło