คุณเปลี่ยนรหัสผ่านผู้ดูแลระบบ / รูทบ่อยแค่ไหน?

12

ฉันมีนิสัยที่ไม่ดีในการเปลี่ยนรหัสผ่านผู้ดูแลระบบในโดเมนของฉัน รหัสผ่านที่ฉันใช้นั้นค่อนข้างดี แต่ฉันต้องการให้สอดคล้องกับสิ่งนี้มากขึ้น

คุณคิดว่าเป็นความถี่ที่ดีคืออะไร อาจจะทุกๆ 6 เดือน

password

— user24555
แหล่งที่มา

90 วันเป็นวิธีปฏิบัติที่ดีโดยทั่วไปสำหรับการเปลี่ยนรหัสผ่าน

— Warner

ภายใต้ระบบปฏิบัติการยูนิกซ์คุณสามารถใช้เครื่องมือเช่น sudo ซึ่งหมายความว่าผู้ใช้บางคนสามารถได้รับสิทธิ์พิเศษระดับรากได้ในเวลาอันสั้น พวกเขาไม่จำเป็นต้องรู้รหัสผ่านรูท ในความเป็นจริงคุณสามารถหนีไปได้โดยไม่ต้องมีหนึ่งชุดหรือไม่รู้เลย ในกรณีนี้คุณไม่จำเป็นต้องเปลี่ยน ผู้ใช้จะต้องเปลี่ยนรหัสผ่านของตัวเอง

— Matt

โอ้พระเจ้าหลังจากอ่านบทความเหล่านี้ทั้งหมดฉันรู้ว่ามีโดเมนหนึ่งที่ฉันทำงานในบางครั้ง (ซึ่งฉันไม่ใช่ผู้ดูแลระบบ แต่มีบัญชีผู้ดูแลระบบ) ซึ่งadministratorรหัสผ่านเหมือนกันเป็นเวลา 7 ปี และมีความยาวเพียง 8 ตัวอักษร บางทีฉันอาจส่งอีเมลถึงพวกเขา ...

— Mark Henderson

9

ลองทำการคำนวณอย่างรวดเร็ว (และลืมวิธีปฏิบัติที่ดีที่สุดสักครู่):

สมมติว่ากรอบเวลาหกเดือนที่ผู้โจมตีจะแฮ็คระบบของคุณ สมมติว่ารหัสผ่านถูกสุ่มเลือกจากชุดอักขระขนาด 62

สถานการณ์ที่ 1:คุณใช้รหัสผ่าน 9 ตัวตลอดหกเดือน

สถานการณ์ที่ 2:คุณใช้รหัสผ่านตัวละคร 9 ตัวสำหรับสามเดือนแรกและรหัสผ่านตัวละคร 9 ตัวที่แตกต่างกันสำหรับสามพระที่เหลือ

สถานการณ์ที่ 3:คุณใช้รหัสผ่าน 10 ตัวอักษรตลอดหกเดือน

ในสถานการณ์สมมติ 1ผู้โจมตีเดรัจฉานบังคับแฮ็คบัญชีของคุณด้วยความมั่นใจ 100% ถ้าเขาสามารถทำได้ 62 ^ 9 ครั้งในเวลานั้น

ในสถานการณ์สมมติ 2หากเขาทำได้เพียง (62 ^ 9) / 2 attemps ในครึ่งเวลา (สามเดือน) เขาจะแฮ็คบัญชีด้วยความมั่นใจ 50% ในช่วงครึ่งหลังเขาจะได้รับโอกาสอีกครั้งพร้อมความมั่นใจ 50% ดังนั้นสถิติเขาจะแฮ็คบัญชีด้วยความมั่นใจ 75%

ในสถานการณ์ 3เขาจะมีความพยายาม 62 ^ 9 ตลอดหกเดือนที่ผ่านมา แต่มีความเป็นไปได้ 62 ^ 10 ดังนั้นเขาจะแฮ็คบัญชีด้วยความมั่นใจ 1/62 นั่นคือประมาณ 1.6%

ดังนั้นหากเราปล่อยให้ปัจจัยอื่น ๆ หมด (เช่นรหัสผ่านที่ถูกขโมยและการโจมตีชนิดอื่น ๆ ) คำแนะนำจะค่อนข้างดีกว่าการใช้รหัสผ่านที่สั้นกว่า (หรือง่ายกว่า) รหัสผ่านแม้ว่าจะเปลี่ยนบ่อยกว่าก็ตาม โดยเฉพาะอย่างยิ่งเนื่องจากในScenario 3มีเพียง 10 ตัวอักษรที่ต้องจำในขณะที่อยู่ในScenario 2จะมีอักขระ 18 ตัว

— Chris Lercher
แหล่งที่มา

2

+1, ใช้รหัสผ่านที่ยาวมาก ไม่มีใครที่จะถอดรหัสรหัสผ่าน 18+ ตัวละครได้ใน 6 เดือน หากพวกเขาต้องการข้อมูลของคุณที่ไม่ดีจริงๆพวกเขาเพียงแค่เจาะและขโมยเซิร์ฟเวอร์

— Chris S

รักนี้ใส่ได้ดี ด้วยรหัสผ่าน ... ขนาดมีความสำคัญ

— Kara Marfia

ดังนั้นรหัสผ่านยาว ๆ ที่ดีควรทำค่อนข้างดีมานานแล้ว ฉันคิดว่าฉันจะใช้รหัสผ่านที่ดีและทำรอบ 12 เดือน นี่จะเป็นโอกาสที่ดีสำหรับฉันในการทำเอกสารทุกอย่างที่กำลังจะพัง (น่าเสียดาย) แก้ไข: โดยดีฉันหมายถึง 16 ตัวอักษร ฉันชอบใช้ประโยคที่มีเครื่องหมายวรรคตอนและช่องว่างรวมอยู่ด้วย

— user24555

ฉันหัวเราะคิกคักเสมอเมื่อมีคนพูดถึงการใช้รหัสผ่านที่ดุร้าย มันจะไม่เกิดขึ้น ระยะเวลา เฉพาะ NSA (หรือเทียบเท่า) หรืออาชญากรรมที่เป็นระบบเท่านั้นซึ่งในกรณีนี้คุณมีปัญหาที่ใหญ่กว่ามากที่ไม่สามารถแก้ไขด้วยรหัสผ่านที่ดีได้

— Dan Andreatta

เพิ่มความคิดเห็นก่อนหน้านี้ฉันทำคณิตศาสตร์อย่างรวดเร็วและใช้เวลาประมาณ 1 วันในการถอดรหัสรหัสผ่าน 6 ถ่านด้วยเดสก์ท็อปสมัยใหม่ซึ่งนำไปสู่ 10 ปีสำหรับรหัสผ่าน 8 ตัว ประสิทธิภาพสำหรับการเข้ารหัสหากจากการทดสอบความเร็ว openssl

— Dan Andreatta

2

เราเป็นหน้าต่างส่วนใหญ่และผู้ดูแลระบบแต่ละคนมีบัญชีผู้ดูแลโดเมนของตัวเองและเราก็เชื่อใจซึ่งกันและกันที่จะมีรหัสผ่านที่คาดเดายากและเปลี่ยนพวกเขาทุก ๆ คราว ฉันแน่ใจว่าทุกคนมีรหัสผ่านที่คาดเดายากเพราะเราใช้ความกดดันจากเพื่อนเพื่อให้แน่ใจว่าพวกเขาใช้เวลานานและมีตัวเลขและ / หรือตัวละครในพวกเขา แต่เราไม่เปลี่ยนบ่อยพอ

เพิ่ม: ตอนนี้คนส่วนใหญ่อาจเคยได้ยินเรื่องนี้ แต่ในกรณี Bruce Schneier ผู้เชี่ยวชาญด้านการเข้ารหัสและความปลอดภัยกล่าวว่าคุณควรมีรหัสผ่านที่คาดเดายากและจดไว้

— Ward - Reinstate Monica
แหล่งที่มา

แรงกดดันจากเพื่อนนั้นทำงานอย่างไร ผู้คนสามารถเห็นรหัสผ่านของกันและกันได้หรือไม่?

— Bill Weiss

2

จากประสบการณ์ของฉันผู้ใช้ไม่สามารถเชื่อถือได้ในการเปลี่ยนรหัสผ่านด้วยตนเองแม้แต่พนักงานไอที

— ITGuy24

@ การเรียกเก็บเงิน: มีเพียง 3 ของเราและเราทำงานร่วมกันเป็นเวลานานดังนั้นความกดดันจากเพื่อนจึงอยู่ในแนวของ "ฉันไม่เห็นคุณพิมพ์ตัวเลขใด ๆ ... "

— Ward - Reinstate Monica

มันไม่ได้ขนาดที่ดีมาก :) อีกทั้งการมีนิสัยในการดูคนพิมพ์รหัสผ่านผู้ดูแลของพวกเขาจะไม่ดีถ้าคุณไปที่เว็บไซต์อื่นบ่อยมาก

— Bill Weiss

แล้วถ้ามีอะไรอย่าง "ขวดสาบาน" ล่ะ? หากผู้ดูแลระบบคนอื่นสามารถจัดการที่จะทำลายรหัสผ่านของคุณ (ใช้สิ่งที่ชอบ ophcrack) คุณต้องใส่ $ 5 ลงในหม้อ

— Nic

1

แม้ว่าในทางทฤษฎีจะเป็นการดีกว่ามากในการเปลี่ยนรหัสผ่านบ่อยครั้ง แต่การเขียนลงไปบนโพสต์มันเพิ่มขึ้นแบบทวีคูณเมื่อระยะเวลาที่ใช้งานสั้นลง

หากนี่เป็นการใช้งานส่วนตัวเท่านั้นทำไมไม่ใช้การพิสูจน์ตัวตนด้วยรหัสสาธารณะและมี PW ที่ดีสำหรับพวงกุญแจของคุณ

— อเล็กซานเด T
แหล่งที่มา

1

คำถามนี้มีแนวคิดมากมายสำหรับการจัดการรหัสผ่าน: serverfault.com/questions/21374/…

— Ward - Reinstate Monica

1

คุณกำลังพูดถึงบัญชีผู้ดูแลระบบสำหรับโดเมน (SID: S-1-5-21domain-500) หรือคุณกำลังพูดถึงบัญชีผู้ดูแลระบบที่คุณสร้างขึ้นด้วยตัวคุณเองเพื่อให้คุณได้รับบันทึกที่มีประโยชน์เกี่ยวกับใครทำอะไร

โดยทั่วไปฉันจะตั้งค่าบัญชีผู้ดูแลระบบให้มีรหัสผ่านยาว (20+ ตัวอักษร) และเก็บรหัสผ่านไว้ในที่ปลอดภัยและไม่เคยใช้บัญชีนั้น ฉันมักจะเปลี่ยนรหัสผ่านนั้นทุกปีหรือมากกว่านั้น เครือข่ายของเรายังมีระบบล็อคและสิ่งที่ควรป้องกันการโจมตีด้วยเดรัจฉานจากระยะไกลที่มีประสิทธิภาพมาก เนื่องจากฉันไม่เคยใช้รหัสผ่านสำหรับงานประจำวันเครื่องดูดควันที่อาจถูกดักจับนั้นแทบจะไม่มีเลย

หากคุณกำลังพูดถึงบัญชีส่วนตัวของฉันที่ฉันได้รับสิทธิ์ผู้ดูแลระบบฉันมักจะเปลี่ยนทุก 6 เดือน ฉันมักจะใช้การพิสูจน์ตัวตนแบบใช้คีย์ทุกครั้งที่ทำได้ดังนั้นรหัสผ่านของฉันจะถูกส่งผ่านไปที่ไหนก็ได้ ฉันยังไม่ได้ทำงานกับสิ่งที่ฉันคิดว่าคนส่วนใหญ่จะถือว่าเป็นระบบที่มีความเสี่ยงสูง

— Zoredache
แหล่งที่มา

ฉันกำลังพูดถึงผู้ดูแลโดเมน บัญชีของฉันไม่ได้เป็นส่วนหนึ่งของกลุ่มผู้ดูแลโดเมน ฉันคิดว่าเป็นการดีที่จะหยุดใช้ผู้ดูแลโดเมนดั้งเดิมและสร้างผู้ดูแลระบบโดเมนรองด้วยชื่อผู้ใช้อื่น

— user24555

0

ไม่ว่าคุณจะตั้งรหัสผ่านที่ซับซ้อนแค่ไหน เป็นวิธีที่ดีในการเปลี่ยนรหัสผ่านทุก ๆ 30 ถึง 42 วัน 6 เดือนเป็นรหัสผ่านที่เก่าเกินไป ควรมีการใช้นโยบายรหัสผ่านที่ดีอยู่เสมอเพื่อความปลอดภัย :-)

— Vivek Kumbhar
แหล่งที่มา

4

คุณคิดอย่างไรกับ "30 ถึง 42 วัน"

— Bill Weiss

เป็นการรักษาความปลอดภัยที่ดีที่สุดที่จะให้รหัสผ่านหมดอายุทุก ๆ 30 ถึง 90 วันขึ้นอยู่กับสภาพแวดล้อมของคุณ วิธีนี้ผู้โจมตีมีระยะเวลา จำกัด ในการถอดรหัสรหัสผ่านของผู้ใช้และเข้าถึงทรัพยากรเครือข่ายของคุณ เริ่มต้น: 42 ไม่ใช่คำพูดของฉันนำมาจาก "วิธีปฏิบัติที่ดีที่สุด"

— Vivek Kumbhar

1

วิธีการเกี่ยวกับการให้ลิงค์กับเอกสารหรือการอ้างอิงที่เราระบุไว้นี้แทนที่จะทำซ้ำว่าเป็น 'แนวปฏิบัติที่ดีที่สุด' โดยทั่วไปฉันปฏิเสธที่จะพิจารณาสิ่งที่จะเป็นแนวปฏิบัติที่ดีที่สุดเว้นแต่จะได้รับการเผยแพร่ในแหล่งข้อมูลที่เชื่อถือได้

— Zoredache

1

แน่นอน .. ดีใจที่คุณถามtechnet.microsoft.com/en-us/library/cc784090(WS.10).aspx

— Vivek Kumbhar

เครื่องมือค้นหาของเบราว์เซอร์ของฉันต้องใช้งานไม่ได้ ฉันไม่เห็น "42" อยู่ในนั้น

— Bill Weiss

-1

ปกติฉันจะรีเซ็ตรหัสผ่านรูทเท่านั้นหลังจากที่พนักงานออกจาก ... แต่ขอแนะนำให้ผู้ใช้ที่เข้าถึง sudo เพื่อเปลี่ยนรหัสของพวกเขาทุก ๆ 90 วัน

— ฟิลิป
แหล่งที่มา