นโยบายการหมดอายุรหัสผ่าน [ปิด]

หลังจากเพิ่งได้รับอีเมลจากซัพพลายเออร์แจ้งให้เราทราบว่าพวกเขาจะบังคับให้เราเปลี่ยนรหัสผ่านของเราทุก ๆ หกเดือนฉันอยากรู้ว่าผู้คนใช้นโยบายการหมดอายุของรหัสผ่านใดและทำไมพวกเขาถึงใช้พวกเขา

มีเส้นแบ่งที่นี่ระหว่างที่ไม่เคยเปลี่ยนและเปลี่ยนบ่อยเกินไป การมีรหัสผ่านที่เหมือนกันมาหลายปีมักไม่ใช่วิธีที่ดีโดยเฉพาะหากมีการเปิดเผยต่อสาธารณะ แต่การบังคับใช้นโยบายที่เข้มงวดในการเปลี่ยนแปลงบ่อยเกินไปก็มีผลข้างเคียงที่ไม่ดีเช่นกัน ที่เดียวที่ฉันทำงานบังคับให้ผู้ใช้ทุกคนในเครือข่ายภายในเปลี่ยนรหัสผ่านทุกสัปดาห์ที่ 6 และรหัสผ่านไม่สามารถเหมือนกับรหัสผ่านก่อนหน้านี้หกครั้ง รหัสผ่านผิดสามตัวล็อคเวิร์กสเตชันและเจ้าหน้าที่ไอทีต้องปลดล็อค ซึ่งส่งผลให้ทุกคนเขียนรหัสผ่านบนโน้ตโพสต์อิทที่แขวนอยู่บนหน้าจอหรือวางไว้ในลิ้นชัก ฝันร้าย

ฉันจะบอกว่าการเปลี่ยนรหัสผ่านทุกๆ 6 เดือนน่าจะเพียงพอ การทำเช่นนี้จะหลีกเลี่ยงการโพสต์ - อิทที่หวั่น

ฉันขอแนะนำให้ใช้คณิตศาสตร์สักเล็กน้อยที่คำนึงถึงความซับซ้อนของรหัสผ่านขั้นต่ำของคุณผู้โจมตีสามารถคาดเดารหัสผ่านจำนวนบัญชีที่ปลดล็อคที่คุณมีอยู่ได้อย่างรวดเร็วและข้อมูลบางอย่างเกี่ยวกับความเสี่ยงของคุณ

หวังว่าคุณจะมีการ จำกัด อัตราสำหรับการเดารหัสผ่าน โดยทั่วไปแล้วจะเป็นสิ่งที่ล็อคบัญชีชั่วคราวหลังจากรหัสผ่านไม่ถูกต้องจำนวนหนึ่ง

และหวังว่าคุณจะมีข้อกำหนดเกี่ยวกับรหัสผ่านที่ซับซ้อนเพื่อที่จะไม่ได้รับอนุญาต "A" และ "รหัสผ่าน"

สมมติว่าหลังจาก 30 รหัสผ่านล้มเหลวใน 10 นาทีคุณจะล็อคบัญชีเป็นเวลา 20 นาที ซึ่ง จำกัด อัตราการเดารหัสผ่านได้อย่างมีประสิทธิภาพถึง 174 ต่อชั่วโมงหรือ 4176 ต่อวัน แต่สมมติว่ามันต่อผู้ใช้

สมมติว่าคุณต้องการรหัสผ่าน 8+ ตัวอักษรที่ประกอบด้วยตัวอักษรตัวใหญ่ตัวต่ำและตัวเลขและคุณทำการตรวจสอบพจนานุกรมเพื่อให้แน่ใจว่ารหัสผ่านเหล่านั้นสุ่มอย่างสมเหตุสมผล กรณีที่เลวร้ายที่สุดที่ผู้ใช้ของคุณใส่ทั้งหมดไว้ด้านบนและหมายเลขหนึ่งอยู่ในที่เดียวกันและผู้โจมตีของคุณรู้ดังนั้นคุณจึงมีรหัสผ่านที่เป็นไปได้ 10 * 26 ^ 7 (80G) กรณีที่ดีที่สุดคือ 62 ^ 8 (218T)

ดังนั้นผู้โจมตีที่พยายามใช้รหัสผ่านที่เป็นไปได้ทั้งหมดจะตีพวกเขาทั้งหมดภายใน 50,000 ปีในกรณีที่เลวร้ายที่สุดและเกือบ 600 ล้านมิลลิวินาทีในกรณีที่ดีที่สุด หรือเพื่อให้เป็นอีกหนึ่งทางเลือกหนึ่งปีพวกเขาจะมีระหว่าง 1 ใน 50,000 และ 1 ใน 52,000,000,000 ของการคาดเดา หากคุณมีฐานผู้ใช้ 50,000 คนเกือบจะรับประกันได้ว่าในกรณีที่เลวร้ายที่สุดพวกเขาจะได้รับหนึ่งบัญชีต่อปีและมีโอกาส 50% ที่จะได้รับหนึ่งบัญชีทุก ๆ 6 เดือน

และถ้าคุณไม่มีข้อ จำกัด ด้านอัตราและผู้โจมตีสามารถเดารหัสผ่านได้หลายพันล้านรหัสต่อวัน? โอกาสหนึ่งใน 600 ในการเข้าสู่บัญชีในหนึ่งปีหรือการรับประกันเสมือนจริงว่ามีผู้ใช้ของคุณราว ๆ 80 รายจาก 50,000 คนในแต่ละปี

ทำงานกับคณิตศาสตร์นั้นและหาว่าระดับความเสี่ยงที่ยอมรับได้ของคุณอยู่ที่ใด และจำไว้ว่ายิ่งคุณตั้งค่าไว้สั้นเท่าไหร่ก็จะยิ่งยากขึ้นสำหรับผู้ใช้ในการจดจำและยิ่งมีโอกาสมากขึ้นที่พวกเขาจะเขียนมันลงไปในที่ใดที่หนึ่งที่สะดวกสำหรับผู้โจมตีในพื้นที่

เป็นโบนัสเพิ่มเติม: ถ้ามีคนพยายามใช้รหัสผ่านหลายพันรายการต่อผู้ใช้ต่อวันกับระบบของคุณฉันหวังว่าคุณจะมีการตรวจสอบบางอย่างที่จะทำให้ดีขึ้น

แก้ไข: ลืมพูดถึง: นโยบายจริงของเราคือ 90 วัน แต่มีทุกสิ่งที่เกี่ยวข้องกับการค้นพบโดยผู้ตรวจสอบความปลอดภัยที่เข้าใจผิดและไม่มีอะไรเกี่ยวข้องกับความเป็นจริง

90 วันน่าจะเพียงพอสำหรับสถานการณ์ส่วนใหญ่ ความกังวลที่ใหญ่ที่สุดของฉันคือความซับซ้อนของรหัสผ่าน มากกว่าปัญหากรอบเวลาในการสร้างบันทึกย่อภายหลังเป็นความซับซ้อนที่บังคับ เป็นเรื่องหนึ่งที่จะหลีกเลี่ยงคำในพจนานุกรมและอีกคำหนึ่งที่มีอักขระพิเศษ แต่เมื่อคุณเริ่มพูดว่าไม่มีอักขระใดที่สามารถทำซ้ำหรือเรียงลำดับจากน้อยไปมาก / มากไปหาน้อยได้ เพิ่มอายุการใช้งานรหัสผ่านสั้น ๆ และคุณก็ยินดีในประเด็นอื่น ๆ อีกมากมาย

การหมดอายุของรหัสผ่านนั้นน่ารำคาญและลดความปลอดภัย

การหมดอายุของรหัสผ่านจะป้องกันสถานการณ์ที่ผู้โจมตีได้โจมตีรหัสผ่านของผู้ใช้แล้ว แต่ไม่มีกลไกในการค้นหาสิ่งที่มันกำลังดำเนินอยู่ (เช่น keylogger)

อย่างไรก็ตามมันทำให้ยากต่อการจดจำรหัสผ่านทำให้มีโอกาสมากขึ้นที่ผู้ใช้จะจดบันทึก

เนื่องจากการป้องกันรหัสผ่านที่ถูกบุกรุกไปแล้วนั้นไม่จำเป็นจริงๆ (คุณหวังว่า) ฉันคิดว่าการหมดอายุของรหัสผ่านไม่มีประโยชน์

ให้ผู้ใช้เลือกรหัสผ่านที่รัดกุมเพื่อเริ่มต้นด้วย กระตุ้นให้พวกเขาจำได้แล้วไม่ต้องเปลี่ยนเลยหรือพวกเขาจะเขียนลงไปทุกที่

หากคุณมีอุปกรณ์ที่ต้องการการรับรองความปลอดภัย "สูงถึงสูง" คุณจะดีกว่าด้วยการใช้โทเค็นฮาร์ดแวร์ที่สร้างรหัสผ่านครั้งเดียวแทนการใช้รหัสผ่านหมดอายุ

"ชนะ" หลักสำหรับระบบการหมดอายุรหัสผ่านคือในที่สุดคุณจะมีบัญชีที่ถูกปิดใช้งานหากผู้ถือบัญชีออกจากองค์กรในฐานะ "ตรวจสอบและถ่วงดุล" เป็นพิเศษในการ "บัญชีควรถูกปิดใช้งานเมื่อเจ้าของบัญชี ใบไม้".

การบังคับใช้การหมดอายุของรหัสผ่านที่ดีที่สุดสำหรับรหัสผ่านที่มีคุณภาพสูงและในกรณีที่แย่ที่สุดคือรหัสผ่านที่ไม่ดี (ในสถานที่ทำงานก่อนหน้านี้เมื่อเราถูกบังคับให้ใช้รหัสผ่านหมดอายุ บนตามวิธีที่ฉันต้องการในการสร้างรหัสผ่าน (48 บิตแบบสุ่มการเข้ารหัส Base64) ไม่ได้ปรับขนาดเป็น "รหัสผ่านใหม่ทุกเดือน")

ฉันคิดว่าถ้าคุณถามผู้เชี่ยวชาญด้านความปลอดภัย 10 คนคำถามนี้คุณจะได้รับคำตอบ 10 ข้อ

สิ่งนี้ขึ้นอยู่กับความสำคัญของสินทรัพย์ที่รหัสผ่านป้องกัน

หากคุณมีสินทรัพย์ที่มีความปลอดภัยสูงคุณต้องกำหนดนโยบายการหมดอายุรหัสผ่านของคุณให้สั้นพอที่จะทำให้ผู้บุกรุกภายนอกไม่มีเวลาในการบังคับใช้รหัสผ่าน ตัวแปรอื่นในสถานการณ์นี้คือระดับความซับซ้อนที่ต้องใช้รหัสผ่าน

สำหรับระบบความปลอดภัยต่ำถึงปานกลางฉันคิดว่านโยบายการหมดอายุ 6 เดือนนั้นยุติธรรมมาก

สำหรับการรักษาความปลอดภัยระดับสูงฉันคิดว่าหนึ่งเดือนจะดีกว่า - และสำหรับการติดตั้งที่ปลอดภัยเป็นพิเศษแม้แต่คาดว่าจะมีช่วงเวลาสั้นลง

เราบังคับใช้รหัสผ่านหมดอายุ 90 วันกับทุกคนที่นี่ (รวมถึงตัวเราด้วย)

ส่วนใหญ่เป็นเพียงแนวทางปฏิบัติที่ดีที่สุด โอกาสของคนที่ใช้รหัสผ่านที่ "อ่อนแอ" และรหัสที่แข็งแกร่งกว่านั้นยิ่งใหญ่กว่าและยิ่งคุณทิ้งรหัสผ่านไว้นานเท่าไรก็อาจส่งผลให้เกิดการละเมิดความปลอดภัยในระยะยาวและตรวจไม่พบ

เราหมดอายุรหัสผ่านเป็นประจำทุกปีและต้องการรหัสผ่านที่รัดกุม (สุ่มดีกว่า) มากกว่า 10 อักขระ เราเรียกใช้การโจมตีพจนานุกรมในรหัสผ่านของผู้คนเมื่อพวกเขาเปลี่ยนพวกเขา เราเก็บแฮชของรหัสผ่านในอดีตเพื่อไม่ให้สามารถใช้รหัสผ่านซ้ำได้ นอกจากนี้เรายังตรวจสอบวันที่ที่เป็นไปได้ในรหัสผ่านเช่น vatine กล่าว ;) สุดท้ายคือการเพิ่มของฉัน ...

ที่งานเก่าเราลองหมดอายุบ่อยขึ้นตามคำสั่งของผู้ดูแลความปลอดภัยเครือข่ายใหม่ - ทุกสองเดือน สองสัปดาห์หลังจากการเปลี่ยนแปลงที่ถูกบังคับครั้งแรกฉันพาเขาไปรอบ ๆ สำนักงานธุรการของเราและเราตรวจดูแป้นพิมพ์และเมาส์ mousepads ของผู้คน มากกว่า 50% ของพวกเขามีรหัสผ่านที่โพสต์ไว้ข้างล่าง เขามีความสุขที่จะคลายนโยบายหลังจากที่เรานั่งคุยกับเจ้าหน้าที่ฝ่ายบริหาร - ความเห็นของพวกเขาคือพวกเขาไม่ได้มีเวลาเพียงพอที่จะท่องจำ

สิ่งที่เรามีส่วนใหญ่ในวันนี้คือการลงชื่อเพียงครั้งเดียวภายในไม่กี่ไซโล ทรัพยากรในวิทยาเขต (ไม่ค่อยได้ใช้สำหรับคนส่วนใหญ่) อยู่ในไซโลเดียวและรหัสผ่านนั้นจัดการโดยกลุ่มไอทีกลางของเรา ทรัพยากรแผนก (ใช้ทุกวัน - เข้าสู่ระบบด้วยเครื่อง, อีเมล, การแก้ไขเว็บไซต์, เครื่องถ่ายเอกสาร) เป็นรหัสผ่านที่จัดการโดยกลุ่มของเราและหมดอายุทุกปี หากผู้คนจับใจไม่ได้เกี่ยวกับความผิดหวังเราชี้ให้เห็นว่าพวกเขามีรหัสผ่านเพียงอันเดียวที่ต้องจดจำ

วันนี้ฉันสร้าง md5sum ในไฟล์สุ่มใน / var / log และใช้เซตย่อยของรหัสผ่านของฉัน

เรามีการพูดคุยกันมากมายเกี่ยวกับเรื่องนี้เมื่อสองสามปีก่อนเมื่อเราเริ่มนโยบายการหมดอายุของรหัสผ่าน เราเพิ่งเสร็จสิ้นการวิ่ง l0phcract ด้วยตารางสายรุ้งกับต้นไม้โฆษณาเพื่อดูว่ามันแย่แค่ไหนและมันก็น่ากลัวมาก ผู้ใช้จำนวนมากยังคงใช้รหัสผ่าน "helpdesk temp" ของพวกเขาหลังจากที่โทรเข้า / วางเพื่อรีเซ็ตรหัสผ่านสิ่งที่น่ากลัวเช่น 30% ใช้ "รหัสผ่าน" หรือตัวแปรบางอย่างเป็นรหัสผ่าน (p @ $$ w0rd เป็นต้น) . การจัดการที่มั่นใจว่าสิ่งนี้จำเป็นต้องเกิดขึ้น

เมื่อเป็นช่วงที่สูงขึ้นเรามีช่วงฤดูร้อนที่จะต่อสู้กับเมื่อเลือกช่วงเวลา อาจารย์จำนวนมากของเราไม่ได้สอนในช่วงฤดูร้อนดังนั้นฝ่ายช่วยเหลือของเราจึงจำเป็นต้องโทรหา "ฉันลืมรหัสผ่าน" เมื่อพวกเขากลับมาในเดือนกันยายน ฉันคิดว่าและฉันอาจผิดที่ช่วงเวลาของเราคือ 6 เดือนยกเว้นช่วงฤดูร้อน ดังนั้นหากรหัสผ่าน 6mo ของคุณหมดอายุลงในช่วงกลางเดือนสิงหาคมมันจะถูกสุ่มโปรแกรมใหม่เพื่อรีเซ็ตในปลายเดือนกันยายนถึงต้นเดือนตุลาคม

คำถามที่ดีกว่าคือความถี่ที่บัญชียูทิลิตี้ของคุณและรหัสผ่านผู้ดูแลระบบหมุน ทั้งหมดบ่อยเกินไปที่ดูเหมือนว่าจะได้รับการยกเว้นจากนโยบายการเปลี่ยนรหัสผ่าน ต้องการที่จะผ่านสคริปต์เหล่านั้นสำหรับการเปลี่ยนรหัสผ่านบัญชียูทิลิตี้ใคร และบางระบบสำรองทำให้ยากต่อการเปลี่ยนรหัสผ่านที่ใช้ซึ่งทำให้ไม่สามารถเปลี่ยนรหัสผ่านของผู้ดูแลระบบได้

ปัญหาสำคัญอย่างหนึ่งของรหัสผ่านที่หมดอายุบ่อยครั้งคือผู้คนจะต้องจดจำรหัสผ่านเหล่านั้นดังนั้นคุณจะมีคนที่ใช้รหัสผ่านที่อ่อนแอหรือคล้ายกันหรือหากนโยบายของคุณไม่อนุญาตให้ทำเช่นนี้พวกเขาจะเริ่มเขียนรหัสผ่านเพื่อช่วยจำ . คุณจะมีคำขอเปลี่ยนรหัสผ่านเพิ่มเติมเมื่อมีคนลืม

โดยส่วนตัวแล้วมันขึ้นอยู่กับรหัสผ่านที่ใช้ แต่ฉันมักจะไม่เก็บรหัสผ่านเกิน 3 เดือนยกเว้นว่าเป็นบัญชีที่ใช้หมดไป สำหรับสิ่งที่มีความเสี่ยงสูงทุกเดือนหรือมากกว่านั้นก็เป็นเรื่องที่ดีและเปลี่ยนมันอย่างท้าทายถ้าคนอื่นที่รู้ว่ามันออกไป เนื่องจากฉันทำงานในธุรกิจสนับสนุนคอมพิวเตอร์ขนาดเล็กเราจึงมีรหัสผ่านหลายรายการที่แบ่งใช้ระหว่างผู้คนจำนวนมากดังนั้นเราจึงไม่ต้องการเปลี่ยนบ่อยนักเนื่องจากความขัดข้องที่อาจเกิดขึ้น

ความคิดเห็นที่น่าสนใจจนถึง แน่นอนว่าทำไมมันถึงเป็นที่ถกเถียงกันอยู่เสมอว่าการจำรหัสผ่านนั้นเป็นปัญหาทางเทคนิคกับบุคลากรที่ไม่ใช่ด้านเทคนิคใน บริษัท ? ความสามารถของใครบางคนที่มีต่อฮาร์ดแวร์ / ซอฟต์แวร์คอมพิวเตอร์นั้นเกี่ยวข้องกับความสามารถในการรักษาความปลอดภัยอย่างจริงจัง บุคคลที่ไม่ใช่ช่างเทคนิคจะแจกบัตรเครดิตหรือบัตรเดบิต # # ของตนหรือไม่ นอกจากนี้ผู้ที่ใส่รหัสผ่านบนบันทึกโพสต์บนโต๊ะของพวกเขาควรจะถูกไล่ออก มันน่าทึ่งที่หน่วยความจำของผู้คนจะดีขึ้นเมื่อพวกเขาตระหนักถึงความปลอดภัยเป็นสิ่งสำคัญและจะต้องดำเนินการอย่างจริงจัง ฉันเห็นมันไม่แตกต่างกันที่บทบาทของการแต่งกายและดำเนินนโยบายในที่ทำงาน ทำตามกฎหรือลาก่อน!

ฉันคิดว่าการมีรหัสผ่านที่ปลอดภัยยิ่งกว่านั้นสำคัญกว่าการเปลี่ยนรหัสผ่านบ่อยๆ แต่ทั้งคู่มีความจำเป็นอย่างยิ่งสำหรับระบบที่ปลอดภัย

การโต้เถียงเป็นไปได้ว่ารหัสผ่านที่ซับซ้อนนั้นยากที่จะจดจำและนำไปสู่การเขียนรหัสผ่านของพนักงาน ความเชื่อของฉันเกี่ยวกับเรื่องนี้คือการโจมตีส่วนใหญ่มาจากด้านนอกและแม้แต่การเขียนรหัสผ่านที่ซับซ้อนและการบันทึกไว้ในจอมอนิเตอร์ของคุณก็ปลอดภัยกว่าการจดจำรหัสผ่านแบบง่าย ๆ

ฉันใช้การพิสูจน์ตัวตนแบบใช้ครั้งเดียวและแบบใช้โทเค็นตามเวลาดังนั้นตามทฤษฎีแล้วทุกครั้งที่ผู้ใช้ลงชื่อเข้าใช้

แม้ว่านี่จะเป็นเนื้อหานอกหัวข้อ แต่เพียงครั้งเดียวดูเหมือนว่าจะเป็นทางออกที่ดีกว่า

ในทำนองเดียวกันและอื่น ๆ โดยทั่วไปมั่นใจได้ว่าผู้ใช้สร้างรหัสผ่านที่รัดกุมและเข้าใจจรรยาบรรณที่อยู่เบื้องหลังนโยบายความปลอดภัยของคุณ (อย่าจดไว้อย่าทำวันเกิดของคุณอย่าให้ใครเลย) จะไปมาก ไกลกว่าเพียงแค่บังคับให้พวกเขาเปลี่ยนทุกช่วงเวลาตาม nth