C'è un beneficio di sicurezza a una regolare password per la password?

Ho trovato in diversi casi, costringendo gli utenti a cambiare la loro password in modo regolare diventa più di un ceppo sulla manutenzione piuttosto che un aiuto per la sicurezza. Inoltre, ho visto gli utenti di scrivere le loro nuove password in quanto non hanno tempo sufficiente per ricordare le loro password e non si può preoccupare di ri-apprendere un'altra.

Qual è il vantaggio di sicurezza per forzare un cambiamento di password?

  • Garantire l'accesso RDP a Windows Server 2008 R2: è sufficiente l'authentication del livello di networking?
  • Le password reali di un tempo (OTP) in Linux diverse da S / Key?
  • È bene lasciare vuota la password di root di MySQL?
  • Che tipo di attacchi di server dovrei essere a conoscenza di oggi
  • È ansible creare un account utente di sola lettura per scopi di controllo di sicurezza?
  • Come rilevare quale process sta facendo una scansione di porte
  • SSL - come fare funzionare http e https
  • Protezione di un SuperMicro IPMI BMC
  • 11 Solutions collect form web for “C'è un beneficio di sicurezza a una regolare password per la password?”

    Ecco un diverso approccio dal diario SANS:
    Regole di password: cambiarle each 25 anni

    C'è un vantaggio pratico. Se qualcuno ha la tua password e tutto quello che vogliono è leggere la tua e-mail e rimanere inospitata, puoi farlo per sempre, a less che non cambi la tua segnetworkingzza. Pertanto, cambiare regolarmente la password non aiuta molto a qualcuno che si rompe e lo lascia con i tuoi beni, ma ti dà la possibilità di scuotere gli stalker o gli snoopers che avresti potuto accedere al tuo account. Sì, questo è buono. Ma se solo questo vantaggio vale la pena e gli svantaggi citati per costringere gli utenti a cambiare la password each 90 giorni, ho i miei dubbi.

    Forza una modifica della password quando l'indovina (eseguendo un programma di indovinamento password su tutti i tuoi utenti per tutto il tempo).

    È difficile discutere con "devi cambiare la tua password" quando la risposta a "perché?" è "perché siamo stati in grado di indovinare cieco". Ricompensa automaticamente chi sceglie difficili da indovinare le password e insegna ai tuoi utenti quali password sono deboli. Se sceglie "password1", scadrà prima che possano effettuare il login in una sola volta. Se un utente sceglie una password di 16 caratteri, random, misti, alfanumbersca, non lo indicherai mai – e nessuno altro. Lasciate che si tratti di un tempo molto lungo e potranno anche memorizzarlo.

    È un compromesso. Richiesto frequenti modifiche delle password provoca minori password di qualità. C'è stata anche una ricerca a questo proposito.

    Detto questo, l'unico modo affidabile che ho trovato per impedire agli utenti di condividere le password è quello di richiedere modifiche periodiche di password. La mia esperienza mostra che 90 giorni sembrano essere un compromesso decente tra l'usabilità e la sicurezza. Se si va più a lungo, le persone iniziano a fare affidamento sulle password condivise – prima e fininetworking con "November09", "December09".

    La cosa peggiore per forzare un cambiamento di password non è che stai veramente causa le persone a cambiare le loro password. Di solito viene fornito con poco o nessun avviso e sono subito colpiti da un problema che hanno bisogno di affrontare subito, per cui, invece di dare a qualcuno il tempo per pensare a una buona password, è più probabile che sia uno less sicuro ma più facile da ricordare, o più sicuro, ma viene solo scritto, negando così il vantaggio di sicurezza.

    Se le password sono di sufficiente complessità che non sono facilmente ipotizzabili e non sono condivise tra i sisthemes e è improbabile che sia stato compromesso, cambiare una password probabilmente non è tanto importnte.

    Tuttavia, se uno di questi si verifichi e che i primi due sono probabilmente più comuni di quanto non, costringere le persone a cambiare la password periodicamente significa che sono less probabili condividere le password alless.

    Detto questo, scelgo di educare i tuoi utenti su ciò che una buona password significa e perché è molto male condividere. Scriverle è comune, non import quello che fai.

    Raccommand che la gente scelga una password da un libro che conosca, ricordando una citazione non così familiare o creando una frase. Utilizza la prima lettera di each parola e aggiungi due numbers dentro di essa da qualche parte. La maggior parte delle persone può ricordare che dopo averlo digitato poche volte.

    Non vedo alcun vantaggio in quella pratica a tutti.

    La password forte è molto più importnte. Con forte intendo 9+ simboli alfanumbersci + speciali o una password / frase 15+ [az] non solo dictionary (questo è basato su un recente studio del costo delle code di bruteforcing usando EC2 di Amazon).

    I sisthemes accessibili a distanza devono disporre di software per la rilevazione e la prevenzione di bruteforce (ad es. Fail2ban) su tutti i servizi esposti. Questo è molto più importnte, IMO, rispetto alla regolare politica di modifica delle password.

    Il problema di base è che le password, come un meccanismo di sicurezza, puzzano.

    Se chiedi alle persone di cambiarle spesso, le li scrivono. Se chiedi loro di usare password di 30 lettere con alless 3 numbers, 4 lettere maiuscole e un carattere di controllo, li dimenticano o li scrivono o fanno altre cose sciocchezze. Se sono semplici, gli utenti utilizzeranno la password stupida come bunny7 o Bunny7. E utilizzeranno la stessa ctriggers password per tutto, inclusi il loro account porno e il loro account hotmail.

    Mi piacciono gli strumenti come Mobile OTP , che consentono agli utenti di utilizzare il proprio cellulare come strumento di authentication a due fattori.

    A lungo termine, è probabile che in qualche modo entreremo in un mondo con cert crittografati come meccanismo di identificazione utente. Cose come OpenID e CAS semplificano l'authentication degli utenti e consentono una semplice firma singola.

    A lungo termine, la migliore scommessa è ridurre il numero di volte che gli utenti hanno bisogno di emettere credenziali – liberarsi della password "HR" e della password "time-sheet" e della password "CRM". Unizzarli in un'infrastruttura di authentication comune che richiede agli utenti di rilasciare una volta le credenziali. Quindi usa qualcosa come MobileOTP o un RSA SecurID che utilizza l'authentication a due fattori.

    A breve termine, le politiche di password saranno l'argomento delle guerre religiose. Basta fare qualunque cosa il tuo capo ti chiede, e se sei il capo, utilizza il tuo giudizio in base al tuo profilo di protezione dell'utente e del profilo previsto.

    In bocca al lupo!

    Questa pratica, che non è del tutto inutile, era molto più importnte da tempo. Il dibattito su questa politica è in realtà controproducente, poiché distoglie l'attenzione dalle minacce attuali che sono molto più gravi.

    Prendere in considerazione:

    • Se si utilizza Windows / AD e un account non ha la casella selezionata per "Account è sensibile e non può essere delegata", tale account può essere utilizzato tramite la rappresentazione e non è richiesta alcuna password. Il codice per fare questo è banale.

    • Se la workstation di Windows di una persona viene compromise da una vulnerabilità di protezione, il loro token di sicurezza delle windows di memory in memory può essere utilizzato per accedere a altri computer. Ancora una volta, non è richiesta alcuna password.

    Quel secondo, a proposito, è il motivo per cui si dovrebbe accedere solo ai server utilizzando un account diverso dal tuo account utente corrente quotidiano. Notare anche che entrambi gli scenari sconfiggono completamente anche i più robusti meccanismi di authentication a due fattori.

    La cosa migliore che potrebbe verificarsi per quanto riguarda la sicurezza delle password è smettere di discutere e concentrarsi sulle minacce più contemporanee e gravi.

    Maggiori informazioni:

    Guarda la presentazione di Luke Jennings, "Un token per governarli tutti":

    http://eusecwest.com/esw08/esw08-jennings.pdf

    Insomnia Shell – esempio del codice richiesto per contrassegnare i token in un server ASP.Net:

    http://www.insomniasec.com/releases/tools

    Come: Utilizzare la transizione del protocollo e la delegazione vincasting in ASP.NET 2.0

    http://msdn.microsoft.com/en-us/library/ms998355.aspx

    Cerca "senza una password".

    Più una parola d'ordine va più lunga, più è probabile che sarà compromise, semplicemente perché ci sarà più opportunità per situazioni in cui può essere compromesso (a causa di una quantità infinita di tempo è ansible). Inoltre rende più difficile cambiare in futuro come l'utente sarà abituato a quello vecchio. Un ulteriore rischio è che se è compromesso e l'utente non è a conoscenza del fatto che ci sia potenziale per un grave grave inadempimento continuo dell'account dell'utente. Le modifiche periodiche alless ridurranno che la prossima modifica della password forzata renderà inutilizzabile la password compromise.

    Nella mia esperienza lo scenario più probabile che causerà l'utente a scrivere le password è una mancanza di un pensiero unificato nell'infrastruttura di sicurezza, ad esempio avere più sisthemes diversi che richiedono la propria combinazione di username e password. Getta 5 di quelli di un utente e otterrai una giuria-appiccicosa nota-sindrome con una vendetta.

    Una politica ragionevole di password che consente agli utenti di scegliere password facilmente memorabili, ma difficili da rompere, accompagnata da una buona istruzione degli utenti, da una solida authentication integrata e da politiche di block e scadenze decenti, tutti supportti da un AUP che vieta in modo esplicito la condivisione delle password. il modo migliore.

    Se stai caching credenziali (che la maggior parte delle persone fanno per la disponibilità) allora questo è un must. Se un computer viene rubato fisicamente e la cache credenziale è abilitata, il ladro può forzare la macchina fuori della networking senza timore che la politica di block dell'account sia triggersta. Hanno poi credenziali valide per le risorse di networking. Modificare queste password a intervalli regolari può contribuire a ridurre al minimo questo danno.

    Questo è l'esatto motivo per cui non si accede mai a un account privilegiato, si accede sempre come utente limitato e consente di elevare i singoli prompt, impedendo alle credenziali privilegiate di essere brutte forzate in caso di furto / rottura.

    Sono nel field di non richiedere mai cambiamenti di password. O come dice l'articolo – each 25 anni – sì, sarò morto allora. Buona. Ecco perché … ho 12 password da ricordare al mio lavoro. La maggior parte di loro cambia e quelli che cambiano sono su orari completamente diversi. Tutti hanno requisiti di forza differenti. Come può una debole persona umana far fronte a questo? Diversi modi che ho visto: li scrivi su un bordo bianco. Scrivere su una carta e tenerli in un cassetto sbloccato. o il mio metodo preferito: memorizzarli in un foglio di calcolo google doc abbastanza insicuro. Non c'è alcun modo per convincermi che uno di questi methods (che sono MOLTO comuni) non corregge totalmente each minuscolo vantaggio di sicurezza ottenuto richiedendo modifiche.

    Ho tempo per scrivere questo post perché sto aspettando qualcuno in supporto IT per sbloccare uno dei miei conti. A quanto pare non ho aggiornato correttamente il mio foglio di calcolo l'ultima volta. C'è uno studio che calcola la BILLION $ $ $ perso da questa sciocchezza?

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.