Wie oft ändern Sie Ihr Administrator- / Root-Passwort?

12

Ich habe die schlechte Angewohnheit, das Administratorkennwort in meiner Domain nur selten zu ändern. Die Passwörter, die ich verwende, sind ziemlich gut, aber ich möchte diesbezüglich konsistenter sein.

Was denkst du ist eine gute Frequenz? Vielleicht alle 6 Monate?

password user24555
quelle
90 Tage sind eine gute allgemeine Vorgehensweise zum Ändern von Kennwörtern.
Warner
Unter Unix können Sie ein Tool wie sudo verwenden, wodurch bestimmten Benutzern für kurze Zeit Root-Rechte gewährt werden. Sie müssen das root-Passwort nicht kennen. Tatsächlich können Sie davonkommen, wenn Sie kein Set haben oder es jemals wissen. In diesem Fall müssen Sie es nicht ändern. Benutzer müssen jedoch ihre eigenen Passwörter ändern.
Matt
Oh Gott, nachdem ich all diese Beiträge gelesen habe, weiß ich, dass es eine Domain gibt, in der ich manchmal arbeite (von der ich nicht der Systemadministrator bin, sondern ein Administratorkonto habe), in der das administratorPasswort seit 7 Jahren dasselbe ist. und es ist nur 8 Zeichen lang. Vielleicht schicke ich ihnen eine E-Mail ...
Mark Henderson

Antworten:

9

Lassen Sie uns eine schnelle Berechnung durchführen (und Best Practices für einen Moment vergessen):

Nehmen Sie einen Zeitraum von sechs Monaten an, in dem ein Angreifer Ihr System hacken kann. Nehmen wir auch an, dass Passwörter zufällig aus einem Zeichensatz der Größe 62 ausgewählt werden.

Szenario 1: Sie verwenden ein 9-stelliges Kennwort für die gesamten sechs Monate.

Szenario 2: Sie verwenden für die ersten drei Monate ein 9-stelliges Kennwort und für die verbleibenden drei Monate ein anderes 9-stelliges Kennwort.

Szenario 3: Sie verwenden ein 10-stelliges Kennwort für die gesamten sechs Monate.

In Szenario 1 hackt ein Brute-Force-Angreifer Ihr Konto mit 100% iger Sicherheit, wenn er in dieser Zeit 62,9 Versuche ausführen kann.

Wenn er in Szenario 2 in der Hälfte der Zeit (drei Monate) nur (62 ^ 9) / 2 Versuche ausführen kann, hackt er den Account mit 50% iger Sicherheit. In der zweiten Hälfte wird er mit 50% Sicherheit eine weitere Chance bekommen. Statistisch gesehen wird er das Konto mit 75% iger Sicherheit hacken.

In Szenario 3 hat er für das gesamte halbe Jahr 62,9 Versuche. Es gibt aber 62 ^ 10 Möglichkeiten. Also wird er den Account nur mit 1/62 Sicherheit hacken, das sind ungefähr 1,6%.

Wenn wir also alle anderen Faktoren auslassen (wie gestohlene Passwörter und andere Arten von Angriffen), wäre die Empfehlung, lieber längere Passwörter zu wählen als kürzere (oder einfachere) Passwörter zu verwenden, selbst wenn diese häufiger geändert werden. Insbesondere, weil in Szenario 3 nur 10 Zeichen zu merken sind, während es in Szenario 2 18 Zeichen sind.

Chris Lercher
quelle
2
+1, Verwenden Sie sehr lange Passwörter. Niemand wird in 6 Monaten tatsächlich ein Passwort mit mehr als 18 Zeichen knacken. Wenn sie wirklich wollen, dass Ihre Daten so schlecht sind, brechen sie einfach ein und stehlen den Server.
Chris S
Ich liebe das, gut ausgedrückt. Mit Passwörtern ... auf die Größe kommt es an.
Kara Marfia
Ein gutes, langes Passwort sollte dann ziemlich lange gut funktionieren. Ich denke, ich benutze nur ein gutes Passwort und mache einen 12-Monats-Zyklus. Dies gibt mir eine gute Gelegenheit, alles zu dokumentieren, was (leider) kaputt gehen wird. Edit: Mit gut meine ich 16+ Zeichen. Ich benutze gerne Sätze, die Interpunktion und Leerzeichen und alles enthalten.
user24555
Ich kichere immer, wenn jemand davon spricht, ein Passwort zu erzwingen. Es wird nicht passieren. Zeitraum. Das kann nur die NSA (oder eine vergleichbare Organisation) oder das organisierte Verbrechen. In diesem Fall haben Sie viel größere Probleme, die mit einem guten Passwort ohnehin nicht gelöst werden können.
Dan Andreatta
Zusätzlich zum vorherigen Kommentar habe ich kurz nachgerechnet, und es dauerte ungefähr 1 Tag, um ein 6-Zeichen-Passwort mit einem modernen Desktop zu knacken, was zu 10 Jahren für ein 8-Zeichen-Passwort führt. Die Leistung für die Verschlüsselung wird von openssl speed test.
Dan Andreatta
2

Wir sind größtenteils Windows-Administratoren, und jeder der Administratoren verfügt über ein eigenes Domänenadministratorkonto. Wir vertrauen nur darauf, dass die Benutzer sichere Kennwörter haben und diese von Zeit zu Zeit ändern. Ich bin mir sicher, dass jeder Benutzer über sichere Kennwörter verfügt, da der Gruppendruck verwendet wird, um sicherzustellen, dass die Kennwörter lang sind und Zahlen und / oder Zeichen enthalten. Wir ändern sie jedoch nicht häufig genug. \

ADDED: Inzwischen haben die meisten Leute das wahrscheinlich gehört, aber nur für den Fall. Der Verschlüsselungs- und Sicherheitsexperte Bruce Schneier empfiehlt, sichere Passwörter aufzuschreiben.

Ward - Wiedereinsetzung von Monica
quelle
Wie funktioniert dieser Gruppenzwang? Können sich die Leute gegenseitig ihre Passwörter ansehen?
Bill Weiss am
2
Meiner Erfahrung nach kann keinem Benutzer vertraut werden, dass er sein Passwort selbst ändert, selbst dem IT-Personal.
ITGuy24
@Bill: Wir sind nur zu dritt, und wir haben lange Zeit zusammengearbeitet, so dass der Gruppenzwang so aussieht wie "Ich habe gerade keine Zahlen eingegeben ..."
Ward - Reinstate Monica
Das lässt sich nicht sehr gut skalieren :) Auch wenn Sie sich angewöhnen, die Eingabe von Administratorkennwörtern zu beobachten, gelingt dies nicht, wenn Sie sehr oft zu anderen Websites gehen.
Bill Weiss
Was ist mit so etwas wie einem "Fluchglas"? Wenn ein anderer Administrator es schafft, Ihr Passwort zu knacken (mit etwas wie ophcrack), müssen Sie 5 $ in den Pot stecken.
Nic
1

Obwohl es theoretisch viel besser wäre, Kennwörter häufig zu ändern, steigt der Faktor zum Aufschreiben der Kennwörter exponentiell an, wenn die Gültigkeitsdauer kürzer wird.

Wenn dies nur für den privaten Gebrauch ist, warum nicht die Authentifizierung mit öffentlichem Schlüssel verwenden und nur ein gutes PW für Ihren Schlüsselbund haben?

Alexander T
quelle
1
Diese Frage hat jede Menge
Ward - Reinstate Monica
1

Sprechen Sie tatsächlich über das Administratorkonto für die Domain (SID: S-1-5-21domain-500) oder über das Administratorkonto, das Sie selbst erstellt haben, damit Sie nützliche Protokolle darüber erhalten, wer was tut?

Im Allgemeinen wird das Administratorkonto so eingerichtet, dass es ein langes Kennwort mit mehr als 20 Zeichen enthält. Das Kennwort wird an einem sicheren Ort gespeichert und niemals verwendet. Normalerweise ändere ich dieses Passwort nur jedes Jahr oder so. Unser Netzwerk verfügt auch über Lockout-Systeme, die verhindern sollen, dass Brute-Force-Angriffe von außerhalb jemals sehr effektiv sind. Da ich das Passwort nie für alltägliche Aufgaben verwende, gibt es kaum eine Möglichkeit, es abzufangen.

Wenn Sie über mein persönliches Konto sprechen, dem ich Administratorrechte gewährt habe, ändere ich es in der Regel alle 6 Monate. Ich tendiere auch dazu, wenn immer möglich eine schlüsselbasierte Authentifizierung zu verwenden, sodass mein Passwort nur sehr selten irgendwo übertragen wird. Ich arbeite im Allgemeinen auch nicht mit dem, was meiner Meinung nach die meisten Leute als Hochrisikosysteme betrachten.

Zoredache
quelle
Ich spreche über den Domain-Administrator. Mein eigenes Konto gehört nicht zur Gruppe der Domänenadministratoren. Ich halte es für eine gute Praxis, den ursprünglichen Domänenadministrator nicht mehr zu verwenden und einen sekundären Domänenadministrator mit einem anderen Benutzernamen zu erstellen.
user24555
0

Egal wie komplexe Passwörter Sie festlegen. Es ist immer ratsam, das Passwort alle 30 bis 42 Tage zu ändern. 6 Monate ist viel zu altes Passwort. Es sollte immer eine gute Passwortrichtlinie implementiert sein, um sicher zu bleiben :-)

Vivek Kumbhar
quelle
4
Woher kommst du mit "30 bis 42 Tagen"?
Bill Weiss
Es ist eine bewährte Sicherheitsmethode, Kennwörter je nach Ihrer Umgebung alle 30 bis 90 Tage ablaufen zu lassen. Auf diese Weise hat ein Angreifer eine begrenzte Zeit, um das Kennwort eines Benutzers zu knacken und auf Ihre Netzwerkressourcen zuzugreifen. Standard: 42. Nicht meine Worte, aus "Best Practices"
Vivek Kumbhar
1
Wie wäre es, wenn Sie uns einen Link zu einem Dokument oder einer Referenz geben, in der dies angegeben ist, anstatt nur zu wiederholen, dass es sich um eine „Best Practice“ handelt. Ich lehne es generell ab, etwas als Best Practice zu betrachten, es sei denn, es wird in einer zuverlässigen Quelle veröffentlicht.
Zoredache
1
sicher .. froh, dass Sie gefragt technet.microsoft.com/en-us/library/cc784090(WS.10).aspx
Vivek Kumbhar
Das Suchwerkzeug meines Browsers muss defekt sein. Ich sehe dort keine "42".
Bill Weiss
-1

Normalerweise setze ich Root-Passwörter erst zurück, nachdem ein Mitarbeiter das Unternehmen verlassen hat. Ermutige jedoch Benutzer mit sudo-Zugriff, ihre Passwörter alle 90 Tage zu ändern.

Philip
quelle