Po otrzymaniu wiadomości e-mail od dostawcy z informacją, że zmuszą nas do zmiany hasła co sześć miesięcy, jestem ciekawy, jakie zasady dotyczące wygaśnięcia hasła są używane przez ludzi i dlaczego z nich korzystają.
Jest tu cienka granica między nigdy nie zmienianiem a zbyt częstym zmienianiem. Posługiwanie się tymi samymi hasłami od lat często nie jest dobrym rozwiązaniem, zwłaszcza jeśli jest publicznie dostępne. Jednak zbyt częste wymuszanie sztywnej polityki jej zmieniania ma również złe skutki uboczne. Jedno miejsce, w którym pracowałem, zmusiło wszystkich użytkowników sieci wewnętrznej do zmiany haseł co 6 tygodni, a hasło nie mogło być takie samo jak sześć poprzednich haseł. Trzy złe hasła zablokowały stację roboczą, a personel IT musiał ją odblokować. W rezultacie wszyscy zapisywali hasło na notatkach Post-It wiszących na ekranie lub umieszczanych w szufladzie. Koszmar.
Powiedziałbym, że zmiana hasła raz na 6 miesięcy powinna wystarczyć. Pozwoli to uniknąć tych przerażających notatek Post-It.
Przepraszam, ale to głupia odpowiedź. Na czym opierasz swoje 6 miesięcy? Jeśli ktoś dostanie twoje hash hasła, to chyba że masz dość silne hasło (co jest generalnie mało prawdopodobne, zwłaszcza jeśli musisz je regularnie zmieniać), może brutalnie wymusić to offline, a on będzie miał twoje hasło w ciągu kilku dni, a nie tygodni lub miesięcy. Posiadanie dobrych tymczasowych mechanizmów blokujących na frontonach zapobiegnie brutalnej sile pod tym kątem, a jeśli skróty haseł SĄ zagrożone, po prostu wygasają wszystkie hasła.
naught101
11
Sugeruję zastosowanie odrobiny matematyki uwzględniającej minimalną złożoność haseł, szybkość, z jaką atakujący może odgadnąć hasła, liczbę odblokowanych kont oraz pewne informacje na temat ryzyka.
Mam nadzieję, że masz jakieś ograniczenie prędkości zgadywania hasła. Zwykle dzieje się tak poprzez tymczasowe blokowanie kont po pewnej liczbie złych haseł.
I miejmy nadzieję, że masz jakieś wymagania dotyczące złożoności hasła, aby „A” i „hasło” nie były dozwolone.
Załóżmy, że po 30 błędach hasła w 10 minut zablokujesz konto na 20 minut. To skutecznie ogranicza wskaźnik zgadywania haseł do 174 na godzinę lub 4176 na dzień. Załóżmy jednak, że dotyczy to jednego użytkownika.
Załóżmy, że potrzebujesz haseł składających się z ponad 8 znaków, zawierających górne, dolne i cyfry, oraz że wykonujesz sprawdzanie słownika, aby upewnić się, że hasła są w miarę losowe. W najgorszym przypadku wszyscy użytkownicy umieszczają jedną górną i jedną liczbę w tym samym miejscu, a atakujący o tym wie, więc masz 10 * 26 ^ 7 (80G) możliwych haseł. Najlepszy przypadek to 62 ^ 8 (218T).
Tak więc atakujący próbujący każdego możliwego hasła trafiłby je wszystkie w najgorszym przypadku w ciągu 50 000 lat, aw najlepszym przypadku prawie 600 milionów mileniów. Innymi słowy, biorąc pod uwagę, że jeden rok mieliby od 1 do 50 000 do 1 na 52 000 000 000 zgadywania. Jeśli masz bazę 50 000 użytkowników, jest prawie pewne, że w najgorszym przypadku dostaną się na jedno konto rocznie i będą mieli około 50% szansy na założenie jednego konta co 6 miesięcy.
A jeśli nie miałeś ograniczenia prędkości, a napastnik mógł odgadnąć miliard haseł dziennie? Jedna na 600 szans na założenie konta w ciągu roku lub wirtualna gwarancja uzyskania około 80 z 50 000 użytkowników rocznie.
Pracuj nad matematyką i dowiedz się, gdzie jest akceptowalny poziom ryzyka. I pamiętaj, że im krótszy zostanie ustawiony, tym trudniej będzie zapamiętać użytkownikom i tym bardziej prawdopodobne, że zostaną zapisane w dogodnym dla atakującego miejscu miejscu.
Jako dodatkowy bonus: jeśli ktoś próbuje tysiące haseł dziennie na użytkownika przeciwko twoim systemom, naprawdę mam nadzieję, że masz jakieś monitorowanie, które by to wykryło.
EDYCJA: Nie
pamiętam wspomnieć: nasza rzeczywista polityka wynosi 90 dni, ale to wszystko ma związek z ustaleniami błędnie przeprowadzonych audytorów bezpieczeństwa i nie ma nic wspólnego z rzeczywistością.
+1 za rzeczywiste obliczenia. To grubsza lepsza odpowiedź niż zaakceptowana.
naught101
4
90 dni wydaje się wystarczające dla większości scenariuszy. Moją największą troską jest złożoność hasła. Problemem złożoności jest nie tylko kwestia ram czasowych w generowaniu notatek post-it. Jedną rzeczą jest unikanie słów słownikowych, a drugą posiadanie znaków specjalnych, ale kiedy zaczynasz mówić, że żadne znaki nie mogą się powtarzać ani znajdować się w porządku rosnącym / malejącym, utrudniasz użytkownikom życie. Dodaj to do krótkiego okresu ważności hasła, a po prostu mile widzisz więcej problemów.
Wygaśnięcie hasła jest denerwujące i zmniejsza bezpieczeństwo.
Wygaśnięcie hasła chroni przed sytuacją, w której osoba atakująca już raz złamała hasło użytkownika, ale nie ma mechanizmu ciągłego sprawdzania jego aktualności (np. Keylogger)
Utrudnia to jednak zapamiętywanie haseł, co zwiększa prawdopodobieństwo ich zapisania przez użytkowników.
Ponieważ obrona przed już skompromitowanym hasłem nie jest tak naprawdę konieczna (masz nadzieję), uważam, że wygasanie hasła jest bezużyteczne.
Poproś użytkowników, aby wybrali silne hasło na początek; zachęcaj ich, aby o tym pamiętali, a następnie nie wymagaj od nich zmiany, nigdy, bo w końcu skończą na zapisywaniu ich wszędzie.
Jeśli masz urządzenie, które wymaga gwarancji bezpieczeństwa „od wysokiej do bardzo wysokiej”, lepiej jest użyć tokena sprzętowego, który generuje hasła jednorazowe, zamiast polegać na wygasaniu hasła.
Główną „wygraną” dla systemu wygaśnięcia hasła jest to, że ostatecznie MASZ konto zostanie wyłączone, jeśli właściciel konta opuści organizację, jako dodatkowe „czek i saldo” na konto należy wyłączyć, gdy właściciel konta pozostawia".
Wymuszanie wygaśnięcia hasła prowadzi co najwyżej do zapisanych haseł wysokiej jakości, aw najgorszym przypadku do złych haseł (w poprzednim miejscu pracy, kiedy byliśmy zmuszeni do wygaśnięcia hasła, skończyło się na (zasadniczo) przedrostkiem Jan2003, przedrostkiem Feb2003 itd. dalej, ponieważ moja preferowana metoda generowania haseł (48 losowych bitów, kodowanych w Base64) nie jest skalowana do „nowych haseł co miesiąc”).
Myślę, że zadając to pytanie 10 różnym specjalistom ds. Bezpieczeństwa - uzyskałbyś 10 różnych odpowiedzi.
Zależy to w dużej mierze od tego, jak ważny jest zasób chroniony hasłem.
Jeśli masz wysoce bezpieczny zasób, musisz ustawić zasadę wygaśnięcia hasła na tyle krótko, aby żaden intruz z zewnątrz nie miał czasu na brutalne wymuszenie hasła. Inną zmienną w tej sytuacji jest wymagany poziom złożoności haseł.
W przypadku systemów bezpieczeństwa o niskim lub średnim poziomie bezpieczeństwa 6-miesięczna polityka wygasania jest bardzo uczciwa.
Myślę, że dla wysokiego poziomu bezpieczeństwa lepszy byłby miesiąc - a dla „ultra” bezpiecznych instalacji można oczekiwać nawet krótszych okresów.
To nie ma większego sensu - biorąc pod uwagę bezpieczne (losowe) hasło o rozsądnej długości, w jakim rozsądnym scenariuszu to hasło byłoby brutalne za 6 miesięcy, ale nie jedno? Jeśli jest to atak online, dlaczego twoje monitorowanie nie zauważyło miliardów nieudanych logowań; jeśli jest to atak offline, mogą po prostu uzyskać 6 razy więcej mocy obliczeniowej.
derobert
To ma sens. Jeśli atakujący otrzyma zaszyfrowany plik hasła, będzie miał o wiele więcej czasu na przeprowadzenie ataku (przy założeniu ataku offline). I, jak powiedzielibyście, potrzebowaliby 6-krotnie sprzętu - co nie jest trywialne, zwłaszcza jeśli jest to „przypadkowy” napastnik, a nie ktoś, kto za wszelką cenę chce złamać hasło, co nie wydaje mi się typową sytuacją system bezpieczeństwa od niskiego do średniego.
Dave
1
Wymuszamy 90-dniowe wygaśnięcie hasła dla wszystkich tutaj (w tym dla nas).
Głównie dlatego, że są to po prostu najlepsze praktyki. Szanse na to, że ktoś użyje „słabego” hasła, w porównaniu z silniejszym hasłem, są większe, a im dłużej je pozostawiasz, może to spowodować długoterminowe, niewykryte naruszenie bezpieczeństwa.
Ale czy zmuszanie nietechnicznego użytkownika do zmiany hasła często poprawia bezpieczeństwo lub obniża je, zmuszając użytkownika do zapisania aktualnego hasła? Byłbym zainteresowany dyskusjami na ten temat.
David Pashley
1
Na miejscu u mojego obecnego klienta, przechodząc obok biurka nietechnicznych pracowników, odsłaniaam karteczkę samoprzylepną po karteczce z hasłem. Jest to 90-dniowe środowisko. Wymagania dotyczące złożoności są minimalne: 8 znaków lub więcej, mieszane znaki alfanumeryczne. Drżę za każdym razem, gdy widzę teraz fluorescencyjny papier w pobliżu monitora.
Rob Allen
4
To jest moje zainteresowanie badawcze. Uważam, że bezpieczeństwo dotyczy zarówno edukacji użytkowników i psychologii, jak i technicznych wymagań bezpieczeństwa. Najbezpieczniejsza instalacja może zostać podważona przez niebezpieczne praktyki dla użytkownika końcowego, a nawet administratorów!
Dave Drager
2
Jednym z taktów przyjętych w naszym biurze domowym przez naszego starszego gościa z branży infrastruktury było zasugerowanie użycia śmiesznych zdań do haseł dla osób niezwiązanych z technologią. Myślę, że jego przykładem było „IHateHavingToResetMyPasswordEvery45Days”, co z pewnością łatwo zapamiętać.
Rob Allen
2
Możesz doradzić im, że jeśli ZAPISĄ to, powinni (a) nie zapisywać tego wraz z nazwą użytkownika, firmą itp .; (b) nieść go ze sobą, np. w portfelu lub torebce, (c) może wydrukować cały arkusz losowych haseł i pamiętać tylko, które z nich jest. W rzeczywistości zgaduję, że gdyby Twoi użytkownicy zrobili to od (a) do (c), mogliby wtedy użyć całkowicie losowych haseł ponad 10 znaków, a ogólne bezpieczeństwo poprawiłoby się, zamiast nie zapisywać haseł.
derobert
1
Hasła wygasają co roku i wymagamy silnych (najlepiej losowych) haseł dłuższych niż 10 znaków. Przeprowadzamy ataki słownikowe na hasła osób, które je zmieniają. Przechowujemy hasła z przeszłości, aby hasła nie mogły być ponownie użyte. Sprawdzamy również ewentualne daty w haśle, jak powiedziała vatine. ;) Ostatni był mój dodatek ...
W poprzednim zadaniu próbowaliśmy wygasać częściej na żądanie administratora nowego bezpieczeństwa sieci - co dwa miesiące. Dwa tygodnie po pierwszej przymusowej zmianie oprowadziłem go po naszych biurach administracyjnych i zajrzeliśmy pod klawiatury i podkładki pod myszy. Ponad 50% z nich miało hasło zapisane na post-it poniżej. Z przyjemnością rozluźnił polisę po tym, jak usiedliśmy i rozmawialiśmy z personelem administracyjnym - ich zdaniem było to, że nie mieli wystarczająco dużo czasu na zapamiętanie.
Większość naszych rzeczy to logowanie jednokrotne w kilku silosach. Zasoby kampusu (rzadko używane przez większość ludzi) znajdują się w jednym silosie, a tym hasłem zarządza nasza centralna grupa IT. Zasoby departamentalne (używane codziennie - logowanie do komputera, e-mail, edycja strony internetowej, kserokopiarka) to hasło zarządzane przez naszą grupę, wygasające również co roku. Jeśli ludzie odczuwają frustrację z powodu frustracji, zwracamy uwagę, że tak naprawdę mają tylko jedno hasło do zapamiętania.
Obecnie generuję sumę md5 na losowym pliku w / var / log i używam jej podzbioru dla moich haseł.
Kilka lat temu rozmawialiśmy o tym, kiedy rozpoczęliśmy politykę wygasania hasła. Właśnie zakończyliśmy bieg 10-krotny z tęczowymi stołami na drzewie AD, aby zobaczyć, jak źle było, i było dość przerażające. Niesamowita liczba użytkowników nadal używała hasła „helpdesk temp” po wywołaniu / wpadnięciu w celu zresetowania hasła, coś strasznego, na przykład 30% użyło „hasła” lub jakiegoś wariantu jako hasła (p @ $$ w0rd itp.) . To przekonało zarząd, że tak się musi stać.
Będąc wyżej, mieliśmy lato, z którym trzeba się zmierzyć, wybierając przedział. Wielu naszych wykładowców nie uczy latem, więc nasz dział pomocy musiał przygotować się na wezwania: „Zapomniałem hasła”, gdy wszyscy wracają we wrześniu. Myślę, i mogę się mylić, że nasz odstęp wynosi 6 miesięcy z wyjątkiem kwartału letniego. Jeśli więc wygaśnięcie hasła 6mo wygaśnie w połowie sierpnia, losowo zostanie przeprogramowane, aby zresetować pod koniec września do początku października.
Lepszym pytaniem jest to, jak często Twoje konto narzędzia i hasło administratora są zmieniane. Zbyt często wydają się one być zwolnione z zasad zmiany hasła. Kto chce przejść przez te wszystkie skrypty, aby zmienić hasło do konta narzędzia? Niektóre systemy tworzenia kopii zapasowych utrudniają zmianę używanych haseł, co zniechęca do zmiany haseł administratora.
W jaki sposób utrata ważności hasła pomaga w złej jakości hasła? (Chociaż z pewnością widziałem ustawienie resetowania haseł pomocy technicznej jako wygaśnięcia przy następnym logowaniu. Lub po prostu wygenerowanie losowych haseł przez helpdesk)
derobert
Nasz proces zmiany hasła obejmuje również kontrolę jakości. Nie pomaga więc bezpośrednio, ale w połączeniu z kontrolą jakości zwiększają odporność na ataki.
sysadmin1138
0
Jednym z głównych problemów z częstym wygaśnięciem hasła jest to, że ludzie będą mieli trudności z zapamiętaniem ich, więc albo będziesz mieć osoby używające słabych lub podobnych haseł, lub jeśli twoje zasady na to nie pozwalają, zaczną zapisywać hasła, aby je zapamiętać . Otrzymasz także więcej wniosków o zmianę hasła, gdy ludzie o nich zapomną.
Osobiście zależy to od tego, do czego służy hasło, ale zwykle nie przechowuję hasła dłużej niż 3 miesiące, chyba że jest to kompletne konto jednorazowe. Dla rzeczy o podwyższonym ryzyku każdy miesiąc jest dobry i zdecydowanie zmieniaj go, jeśli ktoś inny, kto go zna, odejdzie. Ponieważ pracuję w małej firmie zajmującej się wsparciem komputerowym, mamy wiele haseł, które są wspólne dla wielu osób, więc nie chcemy ich zmieniać zbyt często, z powodu zakłóceń, które może powodować.
Jak dotąd ciekawe komentarze. Oczywiście, dlaczego zawsze dyskutuje się, że zapamiętywanie haseł jest kwestią techniczną kontra nietechniczną w firmie? Co czyjaś umiejętność związana ze sprzętem / oprogramowaniem komputerowym ma coś wspólnego ze zdolnością do poważnego traktowania bezpieczeństwa? Czy osoba nietechniczna wyda swój numer karty kredytowej lub pin debetowy? Również osoby umieszczające hasła na karteczkach samoprzylepnych na biurku powinny stanowić podstawę do zwolnienia. To niesamowite, jak poprawi się pamięć ludzi, kiedy zdadzą sobie sprawę, że bezpieczeństwo jest ważne i należy je traktować poważnie. Nie inaczej widzę rolę ubioru i zasad w pracy. Przestrzegaj zasad lub do widzenia!
Myślę, że posiadanie bezpieczniejszego hasła jest o wiele ważniejsze niż częste jego zmienianie, ale oba są zdecydowanie niezbędne dla bezpiecznego systemu.
Argumentuje się, że skomplikowane hasła są trudne do zapamiętania i prowadzą do spisywania ich przez pracowników. Wierzę w to, że zdecydowana większość ataków pochodzi z zewnątrz , a nawet zapisanie złożonego hasła i zapisanie go na monitorze jest bezpieczniejsze niż zapamiętanie prostego hasła.
W rzeczywistości zdecydowana większość ataków w naszym miejscu pracy pochodzi od studentów włamujących się do biur w celu uzyskania dostępu do testów lub zmiany ocen. Na poprzednich (nieakademickich) stanowiskach zdecydowana większość ataków pochodziła z inżynierii społecznej.
Karl Katzke,
Większość użytkowników ma swoje nazwiska na tabliczce znamionowej poza biurem. Znalezienie standardu korporacyjnego w nazwach użytkowników nie jest takie trudne - wtedy dopasowanie tabliczki znamionowej na drzwiach do hasła pod klawiaturą staje się banalne. Powinieneś także uważać na administratorów, którzy umieszczają swoje hasła pod klawiaturą ....
Mei
0
Wdrażam uwierzytelnianie jednorazowe na podstawie padów i tokenów, więc teoretycznie za każdym razem, gdy użytkownik się loguje.
Chociaż jest to prawdopodobnie nie na temat, jednorazowa podkładka wydaje się lepszym rozwiązaniem.
Podobnie i bardziej ogólnie, upewnienie się, że użytkownik utworzy silne hasło i zrozumie zasady etyki związane z twoją polityką bezpieczeństwa (nie zapisuj go, nie rób swoich urodzin, nie dawaj nikomu) pójdzie dużo dalej niż zmuszanie ich do zmiany go co n-ty interwał czasowy.
Odpowiedzi:
Jest tu cienka granica między nigdy nie zmienianiem a zbyt częstym zmienianiem. Posługiwanie się tymi samymi hasłami od lat często nie jest dobrym rozwiązaniem, zwłaszcza jeśli jest publicznie dostępne. Jednak zbyt częste wymuszanie sztywnej polityki jej zmieniania ma również złe skutki uboczne. Jedno miejsce, w którym pracowałem, zmusiło wszystkich użytkowników sieci wewnętrznej do zmiany haseł co 6 tygodni, a hasło nie mogło być takie samo jak sześć poprzednich haseł. Trzy złe hasła zablokowały stację roboczą, a personel IT musiał ją odblokować. W rezultacie wszyscy zapisywali hasło na notatkach Post-It wiszących na ekranie lub umieszczanych w szufladzie. Koszmar.
Powiedziałbym, że zmiana hasła raz na 6 miesięcy powinna wystarczyć. Pozwoli to uniknąć tych przerażających notatek Post-It.
źródło
Sugeruję zastosowanie odrobiny matematyki uwzględniającej minimalną złożoność haseł, szybkość, z jaką atakujący może odgadnąć hasła, liczbę odblokowanych kont oraz pewne informacje na temat ryzyka.
Mam nadzieję, że masz jakieś ograniczenie prędkości zgadywania hasła. Zwykle dzieje się tak poprzez tymczasowe blokowanie kont po pewnej liczbie złych haseł.
I miejmy nadzieję, że masz jakieś wymagania dotyczące złożoności hasła, aby „A” i „hasło” nie były dozwolone.
Załóżmy, że po 30 błędach hasła w 10 minut zablokujesz konto na 20 minut. To skutecznie ogranicza wskaźnik zgadywania haseł do 174 na godzinę lub 4176 na dzień. Załóżmy jednak, że dotyczy to jednego użytkownika.
Załóżmy, że potrzebujesz haseł składających się z ponad 8 znaków, zawierających górne, dolne i cyfry, oraz że wykonujesz sprawdzanie słownika, aby upewnić się, że hasła są w miarę losowe. W najgorszym przypadku wszyscy użytkownicy umieszczają jedną górną i jedną liczbę w tym samym miejscu, a atakujący o tym wie, więc masz 10 * 26 ^ 7 (80G) możliwych haseł. Najlepszy przypadek to 62 ^ 8 (218T).
Tak więc atakujący próbujący każdego możliwego hasła trafiłby je wszystkie w najgorszym przypadku w ciągu 50 000 lat, aw najlepszym przypadku prawie 600 milionów mileniów. Innymi słowy, biorąc pod uwagę, że jeden rok mieliby od 1 do 50 000 do 1 na 52 000 000 000 zgadywania. Jeśli masz bazę 50 000 użytkowników, jest prawie pewne, że w najgorszym przypadku dostaną się na jedno konto rocznie i będą mieli około 50% szansy na założenie jednego konta co 6 miesięcy.
A jeśli nie miałeś ograniczenia prędkości, a napastnik mógł odgadnąć miliard haseł dziennie? Jedna na 600 szans na założenie konta w ciągu roku lub wirtualna gwarancja uzyskania około 80 z 50 000 użytkowników rocznie.
Pracuj nad matematyką i dowiedz się, gdzie jest akceptowalny poziom ryzyka. I pamiętaj, że im krótszy zostanie ustawiony, tym trudniej będzie zapamiętać użytkownikom i tym bardziej prawdopodobne, że zostaną zapisane w dogodnym dla atakującego miejscu miejscu.
Jako dodatkowy bonus: jeśli ktoś próbuje tysiące haseł dziennie na użytkownika przeciwko twoim systemom, naprawdę mam nadzieję, że masz jakieś monitorowanie, które by to wykryło.
EDYCJA: Nie pamiętam wspomnieć: nasza rzeczywista polityka wynosi 90 dni, ale to wszystko ma związek z ustaleniami błędnie przeprowadzonych audytorów bezpieczeństwa i nie ma nic wspólnego z rzeczywistością.
źródło
90 dni wydaje się wystarczające dla większości scenariuszy. Moją największą troską jest złożoność hasła. Problemem złożoności jest nie tylko kwestia ram czasowych w generowaniu notatek post-it. Jedną rzeczą jest unikanie słów słownikowych, a drugą posiadanie znaków specjalnych, ale kiedy zaczynasz mówić, że żadne znaki nie mogą się powtarzać ani znajdować się w porządku rosnącym / malejącym, utrudniasz użytkownikom życie. Dodaj to do krótkiego okresu ważności hasła, a po prostu mile widzisz więcej problemów.
źródło
Wygaśnięcie hasła jest denerwujące i zmniejsza bezpieczeństwo.
Wygaśnięcie hasła chroni przed sytuacją, w której osoba atakująca już raz złamała hasło użytkownika, ale nie ma mechanizmu ciągłego sprawdzania jego aktualności (np. Keylogger)
Utrudnia to jednak zapamiętywanie haseł, co zwiększa prawdopodobieństwo ich zapisania przez użytkowników.
Ponieważ obrona przed już skompromitowanym hasłem nie jest tak naprawdę konieczna (masz nadzieję), uważam, że wygasanie hasła jest bezużyteczne.
Poproś użytkowników, aby wybrali silne hasło na początek; zachęcaj ich, aby o tym pamiętali, a następnie nie wymagaj od nich zmiany, nigdy, bo w końcu skończą na zapisywaniu ich wszędzie.
źródło
Jeśli masz urządzenie, które wymaga gwarancji bezpieczeństwa „od wysokiej do bardzo wysokiej”, lepiej jest użyć tokena sprzętowego, który generuje hasła jednorazowe, zamiast polegać na wygasaniu hasła.
Główną „wygraną” dla systemu wygaśnięcia hasła jest to, że ostatecznie MASZ konto zostanie wyłączone, jeśli właściciel konta opuści organizację, jako dodatkowe „czek i saldo” na konto należy wyłączyć, gdy właściciel konta pozostawia".
Wymuszanie wygaśnięcia hasła prowadzi co najwyżej do zapisanych haseł wysokiej jakości, aw najgorszym przypadku do złych haseł (w poprzednim miejscu pracy, kiedy byliśmy zmuszeni do wygaśnięcia hasła, skończyło się na (zasadniczo) przedrostkiem Jan2003, przedrostkiem Feb2003 itd. dalej, ponieważ moja preferowana metoda generowania haseł (48 losowych bitów, kodowanych w Base64) nie jest skalowana do „nowych haseł co miesiąc”).
źródło
Myślę, że zadając to pytanie 10 różnym specjalistom ds. Bezpieczeństwa - uzyskałbyś 10 różnych odpowiedzi.
Zależy to w dużej mierze od tego, jak ważny jest zasób chroniony hasłem.
Jeśli masz wysoce bezpieczny zasób, musisz ustawić zasadę wygaśnięcia hasła na tyle krótko, aby żaden intruz z zewnątrz nie miał czasu na brutalne wymuszenie hasła. Inną zmienną w tej sytuacji jest wymagany poziom złożoności haseł.
W przypadku systemów bezpieczeństwa o niskim lub średnim poziomie bezpieczeństwa 6-miesięczna polityka wygasania jest bardzo uczciwa.
Myślę, że dla wysokiego poziomu bezpieczeństwa lepszy byłby miesiąc - a dla „ultra” bezpiecznych instalacji można oczekiwać nawet krótszych okresów.
źródło
Wymuszamy 90-dniowe wygaśnięcie hasła dla wszystkich tutaj (w tym dla nas).
Głównie dlatego, że są to po prostu najlepsze praktyki. Szanse na to, że ktoś użyje „słabego” hasła, w porównaniu z silniejszym hasłem, są większe, a im dłużej je pozostawiasz, może to spowodować długoterminowe, niewykryte naruszenie bezpieczeństwa.
źródło
Hasła wygasają co roku i wymagamy silnych (najlepiej losowych) haseł dłuższych niż 10 znaków. Przeprowadzamy ataki słownikowe na hasła osób, które je zmieniają. Przechowujemy hasła z przeszłości, aby hasła nie mogły być ponownie użyte. Sprawdzamy również ewentualne daty w haśle, jak powiedziała vatine. ;) Ostatni był mój dodatek ...
W poprzednim zadaniu próbowaliśmy wygasać częściej na żądanie administratora nowego bezpieczeństwa sieci - co dwa miesiące. Dwa tygodnie po pierwszej przymusowej zmianie oprowadziłem go po naszych biurach administracyjnych i zajrzeliśmy pod klawiatury i podkładki pod myszy. Ponad 50% z nich miało hasło zapisane na post-it poniżej. Z przyjemnością rozluźnił polisę po tym, jak usiedliśmy i rozmawialiśmy z personelem administracyjnym - ich zdaniem było to, że nie mieli wystarczająco dużo czasu na zapamiętanie.
Większość naszych rzeczy to logowanie jednokrotne w kilku silosach. Zasoby kampusu (rzadko używane przez większość ludzi) znajdują się w jednym silosie, a tym hasłem zarządza nasza centralna grupa IT. Zasoby departamentalne (używane codziennie - logowanie do komputera, e-mail, edycja strony internetowej, kserokopiarka) to hasło zarządzane przez naszą grupę, wygasające również co roku. Jeśli ludzie odczuwają frustrację z powodu frustracji, zwracamy uwagę, że tak naprawdę mają tylko jedno hasło do zapamiętania.
Obecnie generuję sumę md5 na losowym pliku w / var / log i używam jej podzbioru dla moich haseł.
źródło
Kilka lat temu rozmawialiśmy o tym, kiedy rozpoczęliśmy politykę wygasania hasła. Właśnie zakończyliśmy bieg 10-krotny z tęczowymi stołami na drzewie AD, aby zobaczyć, jak źle było, i było dość przerażające. Niesamowita liczba użytkowników nadal używała hasła „helpdesk temp” po wywołaniu / wpadnięciu w celu zresetowania hasła, coś strasznego, na przykład 30% użyło „hasła” lub jakiegoś wariantu jako hasła (p @ $$ w0rd itp.) . To przekonało zarząd, że tak się musi stać.
Będąc wyżej, mieliśmy lato, z którym trzeba się zmierzyć, wybierając przedział. Wielu naszych wykładowców nie uczy latem, więc nasz dział pomocy musiał przygotować się na wezwania: „Zapomniałem hasła”, gdy wszyscy wracają we wrześniu. Myślę, i mogę się mylić, że nasz odstęp wynosi 6 miesięcy z wyjątkiem kwartału letniego. Jeśli więc wygaśnięcie hasła 6mo wygaśnie w połowie sierpnia, losowo zostanie przeprogramowane, aby zresetować pod koniec września do początku października.
Lepszym pytaniem jest to, jak często Twoje konto narzędzia i hasło administratora są zmieniane. Zbyt często wydają się one być zwolnione z zasad zmiany hasła. Kto chce przejść przez te wszystkie skrypty, aby zmienić hasło do konta narzędzia? Niektóre systemy tworzenia kopii zapasowych utrudniają zmianę używanych haseł, co zniechęca do zmiany haseł administratora.
źródło
Jednym z głównych problemów z częstym wygaśnięciem hasła jest to, że ludzie będą mieli trudności z zapamiętaniem ich, więc albo będziesz mieć osoby używające słabych lub podobnych haseł, lub jeśli twoje zasady na to nie pozwalają, zaczną zapisywać hasła, aby je zapamiętać . Otrzymasz także więcej wniosków o zmianę hasła, gdy ludzie o nich zapomną.
Osobiście zależy to od tego, do czego służy hasło, ale zwykle nie przechowuję hasła dłużej niż 3 miesiące, chyba że jest to kompletne konto jednorazowe. Dla rzeczy o podwyższonym ryzyku każdy miesiąc jest dobry i zdecydowanie zmieniaj go, jeśli ktoś inny, kto go zna, odejdzie. Ponieważ pracuję w małej firmie zajmującej się wsparciem komputerowym, mamy wiele haseł, które są wspólne dla wielu osób, więc nie chcemy ich zmieniać zbyt często, z powodu zakłóceń, które może powodować.
źródło
Jak dotąd ciekawe komentarze. Oczywiście, dlaczego zawsze dyskutuje się, że zapamiętywanie haseł jest kwestią techniczną kontra nietechniczną w firmie? Co czyjaś umiejętność związana ze sprzętem / oprogramowaniem komputerowym ma coś wspólnego ze zdolnością do poważnego traktowania bezpieczeństwa? Czy osoba nietechniczna wyda swój numer karty kredytowej lub pin debetowy? Również osoby umieszczające hasła na karteczkach samoprzylepnych na biurku powinny stanowić podstawę do zwolnienia. To niesamowite, jak poprawi się pamięć ludzi, kiedy zdadzą sobie sprawę, że bezpieczeństwo jest ważne i należy je traktować poważnie. Nie inaczej widzę rolę ubioru i zasad w pracy. Przestrzegaj zasad lub do widzenia!
źródło
Myślę, że posiadanie bezpieczniejszego hasła jest o wiele ważniejsze niż częste jego zmienianie, ale oba są zdecydowanie niezbędne dla bezpiecznego systemu.
Argumentuje się, że skomplikowane hasła są trudne do zapamiętania i prowadzą do spisywania ich przez pracowników. Wierzę w to, że zdecydowana większość ataków pochodzi z zewnątrz , a nawet zapisanie złożonego hasła i zapisanie go na monitorze jest bezpieczniejsze niż zapamiętanie prostego hasła.
źródło
Wdrażam uwierzytelnianie jednorazowe na podstawie padów i tokenów, więc teoretycznie za każdym razem, gdy użytkownik się loguje.
Chociaż jest to prawdopodobnie nie na temat, jednorazowa podkładka wydaje się lepszym rozwiązaniem.
Podobnie i bardziej ogólnie, upewnienie się, że użytkownik utworzy silne hasło i zrozumie zasady etyki związane z twoją polityką bezpieczeństwa (nie zapisuj go, nie rób swoich urodzin, nie dawaj nikomu) pójdzie dużo dalej niż zmuszanie ich do zmiany go co n-ty interwał czasowy.
źródło