Czy regularna zmiana zasad dotyczących haseł zapewnia korzyści w zakresie bezpieczeństwa?

14

Zauważyłem w kilku przypadkach, że zmuszanie użytkowników do regularnej zmiany hasła staje się bardziej obciążeniem dla konserwacji niż dla bezpieczeństwa. Widziałem też, jak użytkownicy zapisują swoje nowe hasła, ponieważ albo nie mają wystarczająco dużo czasu, aby zapamiętać swoje hasła i nie mogą mieć trudności z ponownym nauczeniem się innego.

Jakie korzyści związane z bezpieczeństwem wymuszają zmianę haseł?

security password gak
źródło

Odpowiedzi:

8

Oto inne podejście do pamiętnika SANS:
Zasady dotyczące hasła: zmieniaj je co 25 lat

Jest jedna praktyczna korzyść. Jeśli ktoś ma Twoje hasło i chce tylko przeczytać Twój e-mail i pozostać niewykrytym, może to zrobić na zawsze, chyba że ostatecznie zmienisz swój klucz logowania. W związku z tym regularna zmiana hasła nie pomaga zbytnio przed włamaniem się i wyłudzaniem go przez twoje towary, ale daje szansę, aby pozbyć się prześladowców lub szpiegów, którzy mieliby dostęp do twojego konta. Tak, to jest dobre. Ale czy sama ta korzyść jest warta kłopotów i wspomnianych wad zmuszania użytkowników do zmiany hasła co 90 dni, mam wątpliwości.

nik
źródło
W tym artykule brakuje jednego kluczowego punktu - bez wymogu zmiany hasła wszyscy znają hasło wszystkich innych. Zagrożenia wewnętrzne stanowią znacznie większe ryzyko niż zagrożenia zewnętrzne.
Doug Luxem
@DLux, Dlaczego zakładasz, że użytkownicy nigdy nie zmienią swoich haseł? W miarę upływu czasu ludzie muszą nauczyć się zabezpieczać swoje zasoby w oparciu o wartość, którą widzą w nich (a nie przez egzekwowanie przepisów administracyjnych). Jeśli zostanie wymuszony zapobiegawczo, istnieje duże prawdopodobieństwo, że użytkownik wyszuka (i znajdzie) sposób na zachowanie tego samego hasła po zmianie. Zmienią hasło tylko wtedy, gdy naprawdę tego chcą.
nik
1
Faktem jest, że użytkownicy będą dzielić się swoimi hasłami. Wymaganie okazjonalnych zmian stanowi wystarczającą barierę dla tego udostępniania (tzn. Znane hasła przestają działać). Jeśli nie uważasz, że użytkownicy udostępniają hasła, prawdopodobnie nie znasz ich wystarczająco dobrze.
Doug Luxem
1
@DLux, znam je na tyle dobrze, aby zauważyć, że gdy hasła są udostępniane, jedna ze znanych osób zmieni hasło, gdy będzie do tego zmuszona - i prawdopodobnie według wcześniej określonego wzorca. Bardzo trudno jest zaprojektować algorytmy uwzględniające inżynierię społeczną ludzkich umysłów. Gdzieś tam jest niekompletność rodzaju Gödela.
nik
11

Wymuszaj zmianę hasła podczas zgadywania (uruchamiając program zgadywania hasła przez wszystkich użytkowników przez cały czas).

Trudno kłócić się z „musisz zmienić hasło”, kiedy odpowiedź na pytanie „dlaczego?” to „ponieważ mogliśmy odgadnąć, że jest ślepy”. Automatycznie nagradza tych, którzy wybierają trudne do odgadnięcia hasła, i uczy użytkowników, jakie hasła są słabe. Jeśli wybiorą „hasło1”, wygaśnie, zanim będą mogli zalogować się raz. Jeśli użytkownik wybierze losowe, alfanumeryczne hasło składające się z 16 znaków, nigdy nie zgadniesz - podobnie jak nikt inny. Pozwól im zachować to bardzo długo, a nawet będą w stanie zapamiętać.

retracile
źródło
To jest ... genialne. Zło, ale genialne.
akolit
6

To jest kompromis. Wymaganie częstych zmian hasła powoduje, że hasła są gorszej jakości. W tym celu przeprowadzono nawet badania.

Biorąc to pod uwagę, jedynym niezawodnym sposobem, który uniemożliwiłem użytkownikom udostępnianie haseł, jest okresowa zmiana hasła. Moje doświadczenie pokazuje, że 90 dni wydaje się być dobrym kompromisem między użytecznością a bezpieczeństwem. Jeśli przejdziesz dłużej, ludzie zaczną polegać na wspólnych hasłach - wcześniej skończysz na „November09”, „December09”.

Doug Luxem
źródło
5

Najgorsze w wymuszaniu zmiany haseł nie jest to, że w rzeczywistości powodujesz, że ludzie zmieniają swoje hasła. Zwykle pojawia się z niewielkim ostrzeżeniem lub bez ostrzeżenia i od razu pojawia się problem, z którym muszą sobie poradzić od razu, więc zamiast dać komuś czas na wymyślenie dobrego hasła, prawdopodobnie jest to hasło mniej bezpieczne ale łatwiejsze do zapamiętania lub bardziej bezpieczne, ale po prostu zostaje spisane, co neguje korzyści bezpieczeństwa.

Jason S.
źródło
3
W standardowej sytuacji AD użytkownik jest ostrzegany przy każdym logowaniu przez 15 dni, zanim będzie to wymagane.
MDMarra,
2

Jeśli hasła są na tyle skomplikowane, że nie można ich łatwo odgadnąć i nie są współużytkowane przez systemy, i jest mało prawdopodobne, że zostało złamane, zmiana hasła prawdopodobnie nie jest aż tak ważna.

Jednak jeśli którykolwiek z nich wystąpi, a pierwsze dwa są prawdopodobnie bardziej powszechne niż nie, zmuszanie ludzi do okresowej zmiany hasła oznacza, że ​​przynajmniej rzadziej udostępniają hasła.

To powiedziawszy, chciałbym poinformować użytkowników o tym, co oznacza dobre hasło i dlaczego bardzo źle jest je udostępniać. Zapisywanie ich jest powszechne bez względu na to, co robisz.

Polecam ludziom, aby wybrali hasło z książki, którą znają, pamiętając z niej niezbyt znany cytat lub wymyślając frazę. Użyj pierwszej litery z każdego słowa i dodaj gdzieś dwie cyfry. Większość ludzi pamięta to po kilkukrotnym wpisaniu.

Michael Graff
źródło
2

Nie widzę żadnych korzyści z tej praktyki.

Silne hasło jest o wiele ważniejsze. Przez silny mam na myśli albo 9+ alfanumeryczne + specjalne symbole, albo 15+ [az] - nie-słownikowe hasło / frazę (jest to oparte na niedawnym badaniu kosztów brutalnego wymuszania haseł przy użyciu EC2 Amazon).

Systemy z dostępem zdalnym muszą mieć oprogramowanie do wykrywania i zapobiegania brutalności (np. Fail2ban) we wszystkich odsłoniętych usługach. Jest to o wiele ważniejsze, IMO, niż zwykła polityka zmiany hasła.

chronos
źródło
Ale atak typu brute force zakłada, że ​​atakujący ma kopię zaszyfrowanego hasła. Jak często to się dzieje?
Chris
Można uruchomić atak bruteforce albo na plik haseł (jak mówisz), albo na odsłoniętą usługę sieciową z uwierzytelnianiem hasła. Aby uzyskać plik haseł, należy uzyskać przynajmniej pewien poziom dostępu do systemu docelowego (fizycznego lub zdalnego) i uważam, że użycie exploita w tym momencie zamiast łamania haseł jest bardzo opłacalną (i wydajną) opcją. Podsumowując, uważam (ale nie mogę udowodnić), że szansa, że ​​ktoś otrzyma kopię zaszyfrowanych haseł, jest mniej więcej taka sama, jak ktoś, kto uzyska nieautoryzowany dostęp do systemu docelowego - przy użyciu innych metod.
chronos
Zabezpieczanie haseł jest o rząd wielkości wolniejsze niż atakowanie zaszyfrowanego hasła. Zazwyczaj, jeśli mam zaszyfrowane hasło, mam już dostęp na poziomie administratora lub kontrolę fizyczną.
Chris
właśnie to mówię :) Używam „bruteforce” zarówno do zdalnych ataków, jak i do odszyfrowywania haseł.
chronos
2

Podstawową kwestią jest to, że hasła jako mechanizm bezpieczeństwa śmierdzą.

Jeśli poprosisz ludzi o częstą ich zmianę, zapisz je. Jeśli poprosisz ich o użycie 30 literowych haseł z co najmniej 3 cyframi, 4 dużymi literami i znakiem kontrolnym, zapominają je lub zapisują lub robią inne głupie rzeczy. Jeśli są proste, użytkownicy będą używać głupiego hasła, takiego jak bunny7 lub Bunny7. I będą używać tego samego złego hasła do wszystkiego, w tym do konta porno i konta Hotmail.

Lubię takie narzędzia, jak Mobile OTP , które pozwalają użytkownikom używać telefonu komórkowego jako narzędzia uwierzytelniania dwuskładnikowego.

W dłuższej perspektywie prawdopodobnie wylądujemy w świecie z zaszyfrowanymi certyfikatami jako mechanizmem identyfikacji użytkownika. Rzeczy takie jak OpenID i CAS upraszczają uwierzytelnianie użytkownika i umożliwiają wygodne logowanie jednokrotne.

W dłuższej perspektywie najlepszym rozwiązaniem jest ograniczenie liczby przypadków, w których użytkownicy muszą wydawać dane uwierzytelniające - pozbyć się hasła „HR” i hasła „harmonogramu” oraz hasła „CRM”. Ujednolic je we wspólnej infrastrukturze uwierzytelniania, która wymaga od użytkowników jednorazowego wystawienia poświadczeń. Następnie niech używają czegoś takiego jak MobileOTP lub RSA SecurID, który wykorzystuje uwierzytelnianie dwuskładnikowe.

W krótkim okresie polityka haseł będzie przedmiotem wojen religijnych. Po prostu rób wszystko, o co poprosi Twój szef, a jeśli jesteś szefem, dokonaj oceny na podstawie bazy użytkowników i oczekiwanego profilu bezpieczeństwa.

Powodzenia!

Chris
źródło
1

Ta praktyka, która nie jest całkowicie bezużyteczna, dawno temu była o wiele ważniejsza. Debata na temat tej polityki jest w rzeczywistości bezproduktywna, ponieważ odwraca uwagę od obecnych poważniejszych zagrożeń.

Rozważać:

  • Jeśli korzystasz z systemu Windows / AD, a dla konta nie jest zaznaczone pole „Konto jest poufne i nie można go delegować”, z tego konta można korzystać przez personifikację i nie jest wymagane hasło. Kod do wykonania tego jest trywialny.

  • Jeśli stacja robocza systemu Windows zostanie naruszona przez lukę w zabezpieczeniach, jej token bezpieczeństwa systemu Windows w pamięci może zostać wykorzystany do uzyskania dostępu do innych komputerów. Ponownie hasło nie jest wymagane.

Nawiasem mówiąc, ten drugi powód, dla którego powinieneś uzyskiwać dostęp do serwerów tylko przy użyciu konta innego niż codzienne konto zwykłego użytkownika. Należy również pamiętać, że oba scenariusze całkowicie pokonują nawet najbardziej niezawodne mechanizmy uwierzytelniania dwuskładnikowego.

Najlepszą rzeczą, jaka może się zdarzyć w odniesieniu do bezpieczeństwa hasła, jest zaprzestanie debaty i skupienie się na bardziej współczesnych i poważnych zagrożeniach.

Więcej informacji:

Sprawdź prezentację Luke'a Jenningsa: „Jeden token do rządzenia nimi wszystkimi”:

http://eusecwest.com/esw08/esw08-jennings.pdf

Insomnia Shell - przykład kodu wymaganego do złamania tokena na serwerze ASP.Net:

http://www.insomniasec.com/releases/tools

Instrukcje: korzystanie z protokołu przesyłania i ograniczonej delegacji w programie ASP.NET 2.0

http://msdn.microsoft.com/en-us/library/ms998355.aspx

Wyszukaj „bez hasła”.

Greg Askew
źródło
0

Im dłużej hasło pozostanie niezmienione, tym bardziej prawdopodobne jest, że zostanie ono złamane, po prostu dlatego, że będzie więcej możliwości w sytuacjach, w których może zostać naruszone (biorąc pod uwagę nieskończoną ilość czasu, wszystko jest możliwe). Utrudnia to również zmianę w przyszłości, ponieważ użytkownik przyzwyczai się do starej. Kolejne ryzyko polega na tym, że jeśli zostanie przejęte, a użytkownik nie jest świadomy faktu, że może dojść do poważnego ciągłego niewłaściwego korzystania z konta użytkownika. Okresowe zmiany przynajmniej to złagodzą, ponieważ następna wymuszona zmiana hasła spowoduje, że zhakowane hasło będzie bezużyteczne.

Z mojego doświadczenia wynika, że ​​scenariusz, który najprawdopodobniej spowoduje, że użytkownicy będą zapisywać hasła, to brak wspólnego myślenia w twojej infrastrukturze bezpieczeństwa, na przykład posiadania wielu różnych systemów, z których każdy wymaga unikalnej kombinacji nazwy użytkownika i hasła. Rzuć 5 z nich na użytkownika, a otrzymasz syndrom żółtej karteczki z zemstą.

Rozsądna polityka haseł, która umożliwia użytkownikom wybieranie haseł łatwych do zapamiętania, ale trudnych do złamania, w połączeniu z dobrą edukacją użytkowników, solidnym zintegrowanym uwierzytelnianiem oraz przyzwoitymi zasadami dotyczącymi blokowania i wygaśnięcia, a wszystko to poparte przez AUP, która wyraźnie zabrania udostępniania haseł, to: Najlepszym sposobem.

Maximus Minimus
źródło
Po prostu dlatego? proszę wytłumacz ! Czy twoje systemy podlegają ciągłemu atakowi strony trzeciej? Być może jakiś system IDS jest w porządku zamiast zmian hasła?
Tim Williscroft,
Nigdy nie mówiłem, że to moje systemy, ale nie, podlegają podstępnemu, nikczemnemu, nędznemu ulowi szumowiny i osady znanym jako „Użytkownicy końcowi z prawdziwego życia”. Użytkownicy są leniwi, nie dbają o bezpieczeństwo („to problem kogoś innego”) i chcą, aby wszystko było dla nich jak najłatwiejsze. Chodzi o zachowanie równowagi.
Maximus Minimus
0

Jeśli buforujesz dane uwierzytelniające (co większość ludzi robi dla dostępności), jest to koniecznością. Jeśli komputer zostanie fizycznie skradziony, a buforowanie poświadczeń jest włączone, złodziej może brutalnie zmusić maszynę do opuszczenia sieci bez obawy o aktywację zasady blokowania konta. Następnie mają prawidłowe poświadczenia do zasobów sieciowych. Zmiana tych haseł w regularnych odstępach czasu może pomóc zminimalizować te uszkodzenia.

To jest dokładnie powód, dla którego nigdy nie logujesz się na konto uprzywilejowane, zawsze logujesz się jako ograniczony użytkownik i podnosisz indywidualne monity, co zapobiega brutalnej wymuszonej autoryzacji poświadczeń w przypadku kradzieży / włamania.

MDMarra
źródło
1
Regularne zmienianie haseł niewiele pomoże w skradzionych komputerach; chyba że zawsze upewnisz się, że hasło wygasa, zanim ktokolwiek je ukradnie ...: P Tylko najbardziej głupi hakerzy zaczekają kilka dni po uzyskaniu dostępu, zanim je wykorzystają ...
Stein G. Strindhaug
0

Jestem w obozie, że nigdy nie wymagam zmiany hasła. Lub jak mówi artykuł - co 25 lat - tak, wtedy będę martwy. Dobry. Oto dlaczego ... Mam 12 haseł do zapamiętania w mojej pracy. Większość z nich się zmienia, a te, które się zmieniają, mają zupełnie inny harmonogram. Wszystkie mają różne wymagania wytrzymałościowe. Jak słaby człowiek może sobie z tym poradzić? Kilka sposobów, które widziałem: napisz je na białej tablicy. Napisz je na papierze i przechowuj w otwartej szufladzie. lub moja preferowana metoda: przechowuj je w dość niepewnym arkuszu kalkulacyjnym Google Doc. W żaden sposób nie możesz mnie przekonać, że którakolwiek z tych metod (które są BARDZO powszechne) nie całkowicie równoważy jakąkolwiek niewielką korzyść bezpieczeństwa uzyskaną poprzez wymaganie zmian.

Mam czas na napisanie tego posta, ponieważ czekam na kogoś z działu IT, aby odblokował jedno z moich kont. Najwyraźniej ostatni raz nie zaktualizowałem mojego arkusza kalkulacyjnego. Czy istnieje badanie, które oblicza BILLION $$$ utracone przez ten nonsens?

Bob Damiano
źródło