Ich habe gerade eine E-Mail von einem Lieferanten erhalten, in der er uns darüber informiert, dass wir alle sechs Monate unser Passwort ändern müssen, und bin gespannt, welche Richtlinien zum Ablauf von Passwörtern Menschen verwenden und warum sie sie verwenden.
Es gibt hier eine feine Grenze zwischen nie ändern und zu oft ändern. Es ist oft keine gute Lösung, jahrelang die gleichen Passwörter zu haben, besonders wenn diese öffentlich verfügbar sind. Aber das Erzwingen einer rigiden Politik, diese zu oft zu ändern, hat auch schlimme Nebenwirkungen. An einem Ort, an dem ich gearbeitet habe, mussten alle Benutzer im internen Netzwerk alle 6 Wochen die Passwörter ändern, und das Passwort konnte nicht mit den sechs vorherigen Passwörtern identisch sein. Drei falsche Passwörter haben die Workstation gesperrt und das IT-Personal musste sie entsperren. Dies führte dazu, dass jeder das Passwort auf Post-It-Notizen schrieb, die auf dem Bildschirm hingen oder in seine Schublade gelegt wurden. Albtraum.
Ich würde sagen, dass das Ändern des Passworts alle 6 Monate ausreichend sein sollte. Dies vermeidet die gefürchteten Post-It-Zettel.
Sorry, aber das ist eine blöde Antwort. Worauf gründest du deine 6 Monate? Wenn jemand Ihre Passwort-Hashes erhält , kann er diese offline erzwingen, es sei denn, Sie haben ein recht sicheres Passwort (was im Allgemeinen unwahrscheinlich ist, insbesondere wenn Sie es regelmäßig ändern müssen) Passwort in wenigen Tagen, nicht Wochen oder Monaten. Wenn Ihre Frontends über gute temporäre Sperrmechanismen verfügen, wird Brute Force aus diesem Blickwinkel verhindert. Wenn Ihre Kennwort-Hashes kompromittiert werden, verfallen alle Kennwörter.
Naught101
11
Ich würde vorschlagen, ein bisschen Mathematik zu verwenden, das Ihre minimale Kennwortkomplexität, die Geschwindigkeit, mit der ein Angreifer Kennwörter erraten kann, die Anzahl der entsperrten Konten und einige informierte Informationen zu Ihren Risiken berücksichtigt.
Hoffentlich haben Sie eine Art Ratenbegrenzung für das Erraten von Passwörtern. Normalerweise geschieht dies über etwas, das Konten nach einer gewissen Anzahl falscher Kennwörter vorübergehend sperrt.
Und hoffentlich haben Sie einige Anforderungen an die Kennwortkomplexität, sodass "A" und "Kennwort" nicht zulässig sind.
Nehmen wir an, dass Sie nach 30 Kennwortfehlern in 10 Minuten ein Konto für 20 Minuten sperren. Dadurch wird die Rate der Kennwortschätzungen effektiv auf 174 pro Stunde oder 4176 pro Tag begrenzt. Aber nehmen wir an, es ist pro Benutzer.
Angenommen, Sie benötigen Kennwörter mit mehr als 8 Zeichen, die ein oberes, ein unteres und ein numerisches Kennwort enthalten, und Sie führen einige Wörterbuchprüfungen durch, um sicherzustellen, dass diese Kennwörter einigermaßen zufällig sind. Im schlimmsten Fall setzen Ihre Benutzer alle die eine obere und die eine Zahl an die gleiche Stelle, und Ihr Angreifer weiß es, sodass Sie 10 * 26 ^ 7 (80G) mögliche Kennwörter haben. Der beste Fall ist 62 ^ 8 (218T).
Ein Angreifer, der jedes mögliche Passwort ausprobiert, würde im schlimmsten Fall alle innerhalb von 50.000 Jahren treffen und im besten Fall fast 600 Millionen Jahrtausende. Oder anders ausgedrückt: In einem Jahr hätten sie zwischen 1 zu 50.000 und 1 zu 52.000.000.000 erraten. Wenn Sie eine Nutzerbasis von 50.000 haben, ist es fast garantiert, dass sie im schlimmsten Fall ein Konto pro Jahr eröffnen und eine Chance von ungefähr 50% haben, alle 6 Monate ein Konto zu erhalten.
Und wenn Sie keine Geschwindigkeitsbegrenzung hätten und ein Angreifer eine Milliarde Passwörter pro Tag erraten könnte? Eine Chance von 1 zu 600, in einem Jahr ein Konto zu eröffnen, oder eine virtuelle Garantie dafür, dass jedes Jahr etwa 80 von 50.000 Nutzern registriert werden.
Arbeiten Sie an dieser Mathematik und finden Sie heraus, wo Ihr akzeptables Risiko liegt. Und denken Sie daran, je kürzer Sie es einstellen, desto schwieriger wird es für die Benutzer, sich daran zu erinnern, und desto wahrscheinlicher wird es für einen Angreifer vor Ort aufgeschrieben.
Als zusätzlichen Bonus: Wenn jemand Tausende von Passwörtern pro Benutzer und Tag gegen Ihre Systeme versucht, hoffe ich wirklich, dass Sie eine Art Überwachung haben, die dies aufgreift.
EDIT:
Vergessen zu erwähnen: Unsere aktuelle Politik ist 90 Tage, aber das hat alles mit Erkenntnissen von fehlgeleiteten Sicherheitsprüfern zu tun und nichts mit der Realität zu tun.
+1 für tatsächliche Berechnungen. Dies ist eine bessere Antwort als die akzeptierte.
Naught101
4
90 Tage scheinen für die meisten Szenarien ausreichend zu sein. Meine größte Sorge ist die Komplexität des Passworts. Mehr als das Zeitfensterproblem beim Erstellen von Post-It-Notizen ist die erzwungene Komplexität. Es ist eine Sache, Wörterbuchwörter und andere zu vermeiden, Sonderzeichen zu haben, aber wenn Sie sagen, dass sich keine Zeichen wiederholen können oder in aufsteigender / absteigender Reihenfolge vorkommen, haben Sie Ihren Benutzern das Leben schwer gemacht. Fügen Sie das zu einem kurzen Kennwortleben hinzu, und Sie haben gerade in mehr Ausgaben begrüßt.
Das Ablaufen des Passworts ist ärgerlich und verringert die Sicherheit.
Der Kennwortablauf schützt vor der Situation, in der ein Angreifer das Kennwort eines Benutzers bereits einmal missbraucht hat, aber nicht über einen Mechanismus verfügt, mit dem er fortlaufend feststellen kann, um welche Art von Kennwort es sich handelt (z. B. Keylogger).
Es macht es jedoch auch schwieriger, sich Kennwörter zu merken, wodurch die Wahrscheinlichkeit steigt, dass Benutzer sie aufschreiben.
Da die Abwehr eines bereits kompromittierten Passworts nicht unbedingt erforderlich ist (wie Sie hoffen), halte ich das Ablaufen des Passworts für sinnlos.
Fordern Sie die Benutzer auf, zunächst ein sicheres Kennwort zu wählen. Ermutigen Sie sie, sich daran zu erinnern, und fordern Sie sie dann nicht auf, es jemals zu ändern, sonst schreiben sie sie überall auf.
Wenn Sie ein Gerät haben, das "hohe bis ultrahohe" Sicherheitsgarantien benötigt, ist es besser, ein Hardware-Token zu verwenden, das Einmalkennwörter generiert, anstatt sich auf das Ablaufen von Kennwörtern zu verlassen.
Der Hauptgewinn für ein Kennwortablaufsystem besteht darin, dass Sie möglicherweise ein Konto deaktiviert haben, wenn der Kontoinhaber die Organisation verlässt, da eine zusätzliche Überprüfung und ein zusätzlicher Saldo für das Konto deaktiviert werden sollten, wenn der Kontoinhaber ein Konto hat Blätter".
Das Erzwingen des Kennwortablaufs führt bestenfalls zu niedergeschriebenen Kennwörtern hoher Qualität und im schlimmsten Fall zu falschen Kennwörtern (an einem früheren Arbeitsplatz, als wir gezwungen waren, den Kennwortablauf zu verwenden, habe ich (im Wesentlichen) prefixJan2003, prefixFeb2003 usw. verwendet on, da meine bevorzugte Methode zum Generieren von Passwörtern (48 zufällige Bits, Base64-codiert) nicht auf "jeden Monat neue Passwörter" skaliert.
Ich denke, wenn Sie 10 verschiedene Sicherheitsexperten diese Frage stellen, erhalten Sie 10 verschiedene Antworten.
Dies hängt stark davon ab, wie kritisch das Asset ist, das durch das Kennwort geschützt wird.
Wenn Sie über ein hochsicheres Asset verfügen, müssen Sie die Kennwortablaufrichtlinie so kurz festlegen, dass kein externer Eindringling Zeit hat, ein Kennwort zu erzwingen. Eine weitere Variable in dieser Situation ist die Komplexität der Kennwörter.
Für Systeme mit niedriger bis mittlerer Sicherheit halte ich eine Ablauffrist von 6 Monaten für sehr fair.
Für eine hohe Sicherheit halte ich einen Monat für besser - und für "ultra" sichere Installationen wären noch kürzere Zeiträume zu erwarten.
Dies macht wenig Sinn - wenn ein sicheres (zufälliges) Passwort von angemessener Länge gegeben ist, in welchem vernünftigen Szenario wäre dieses Passwort in 6 Monaten brachial, aber nicht eines? Wenn es sich um einen Online-Angriff handelt, warum hat Ihre Überwachung nicht Milliarden fehlgeschlagener Anmeldungen bemerkt? Wenn es sich um eine Offline-Attacke handelt, könnten sie nur 6x mehr Rechenleistung erhalten.
Derobert
Das macht durchaus Sinn. Wenn ein Angreifer die verschlüsselte Kennwortdatei erhält, hat er so viel mehr Zeit, um den Angriff auszuführen (vorausgesetzt, es handelt sich um einen Offline-Angriff). Und wie Sie sagen würden, würden sie das 6-fache der Hardware benötigen - was nicht trivial ist, insbesondere wenn es sich um einen "gelegentlichen" Angreifer handelt und nicht um jemanden, der unbedingt die Passwörter knacken möchte, was meiner Meinung nach nicht die typische Situation ist ein niedriges bis mittleres Sicherheitssystem.
Dave Drager
1
Wir erzwingen einen 90-tägigen Ablauf des Kennworts für alle hier (einschließlich uns selbst).
Meistens, weil es einfach Best Practices sind. Die Wahrscheinlichkeit, dass jemand ein "schwaches" Kennwort verwendet, ist größer als ein "stärkeres" Kennwort. Je länger Sie das Kennwort unverändert lassen, umso länger kann es dauern, bis eine unentdeckte Sicherheitsverletzung auftritt.
Aber verbessert das Erzwingen, dass ein nicht-technischer Benutzer sein Kennwort häufig ändert, die Sicherheit oder verringert es, indem der Benutzer sein aktuelles Kennwort aufschreibt? Ich wäre an Diskussionen zu diesem Thema interessiert.
David Pashley
1
Bei meinem derzeitigen Kunden vor Ort werden beim Vorbeigehen an den nichttechnischen Arbeiterschreibtischen Post-It-Zettel mit Post-It-Zettel mit Passwörtern aufgedeckt. Dies ist in einer 90-Tage-Umgebung. Die Komplexitätsanforderungen sind minimal: 8 Zeichen oder länger, gemischte alphanumerische Zeichen. Ich schaudere jedes Mal, wenn ich jetzt fluoreszierendes farbiges Papier in der Nähe eines Monitors sehe.
Rob Allen
4
Dies ist ein Forschungsinteresse von mir. Ich glaube, dass Sicherheit genauso viel mit Benutzererziehung und -psychologie zu tun hat wie mit technischen Sicherheitsanforderungen. Die sicherste Installation kann durch unsichere Praktiken für Endbenutzer oder sogar Administratoren untergraben werden!
Dave Drager
2
Eine Taktik, die unser erfahrenster Infrastruktur-Mitarbeiter in unserem Heimbüro ausführte, bestand darin, den nicht-tech-orientierten Leuten die Verwendung lustiger Sätze für Passwörter vorzuschlagen. Ich denke, sein Beispiel war "IHateHavingToResetMyPasswordEvery45Days", was sicherlich leicht zu merken ist.
Rob Allen
2
Möglicherweise möchten Sie ihnen mitteilen, dass sie (a) es nicht zusammen mit dem Benutzernamen, der Firma usw. Aufschreiben sollten, wenn sie es aufschreiben. (b) Nehmen Sie es mit, z. B. in ihrer Brieftasche oder Handtasche. (c) Drucken Sie möglicherweise ein ganzes kleines Blatt mit zufälligen Passwörtern aus und merken Sie sich nur, welches es ist. Tatsächlich würde ich vermuten, dass Ihre Benutzer, wenn sie (a) bis (c) taten, völlig zufällige Kennwörter mit mehr als 10 Zeichen verwenden könnten, und die Gesamtsicherheit würde verbessert, anstatt die Kennwörter nicht aufzuschreiben.
Derobert
1
Wir verfallen jedes Jahr nach Ablauf der Gültigkeitsdauer von Passwörtern und benötigen sichere (vorzugsweise zufällige) Passwörter, die länger als 10 Zeichen sind. Wir führen Wörterbuchangriffe auf die Passwörter von Personen durch, wenn diese diese ändern. Wir behalten vergangene Passwort-Hashes bei, damit Passwörter nicht wiederverwendet werden können. Wir überprüfen auch mögliche Daten im Passwort, wie vatine sagte. ;) Der letzte war mein Zusatz ...
Bei einem früheren Job haben wir versucht, auf Veranlassung eines neuen Netzwerksicherheitsadministrators häufiger abzulaufen - alle zwei Monate. Zwei Wochen nach dem ersten erzwungenen Wechsel führte ich ihn durch unsere Verwaltungsbüros, und wir schauten unter die Tastaturen und Mauspads der Leute. Über 50% von ihnen hatten ein Passwort auf einem Post-It darunter geschrieben. Er war froh, die Politik zu lockern, nachdem wir uns hingesetzt und mit dem Verwaltungspersonal gesprochen hatten - sie waren der Meinung, dass sie nicht lange genug Zeit hatten, um es sich zu merken.
Der Großteil unserer Arbeit besteht heutzutage aus Single Sign-On innerhalb weniger Silos. Campus-Ressourcen (für die meisten Menschen selten verwendet) befinden sich in einem Silo, und dieses Kennwort wird von unserer zentralen IT-Gruppe verwaltet. Abteilungsressourcen (täglich verwendet - Maschinenanmeldung, E-Mail, Website-Bearbeitung, Fotokopierer) sind ein Passwort, das von unserer Gruppe verwaltet wird und ebenfalls jährlich abgelaufen ist. Wenn sich Leute über Frustrationen beschweren, weisen wir darauf hin, dass sie wirklich nur ein Passwort haben, an das sie sich erinnern müssen.
In diesen Tagen erstelle ich eine MD5-Summe für eine zufällige Datei in / var / log und verwende eine Teilmenge davon für meine Passwörter.
Wir hatten vor ein paar Jahren viele Diskussionen darüber, als wir begannen ein Passwort Ablaufrichtlinie. Wir hatten gerade einen kurzen Lauf mit Regenbogentischen gegen den AD-Baum beendet, um zu sehen, wie schlimm es war, und es war ziemlich schrecklich. Eine atemberaubende Anzahl von Benutzern hat ihr "Helpdesk Temp" -Passwort immer noch verwendet, nachdem sie zum Zurücksetzen des Passworts angerufen / vorbeigekommen waren. Etwas Schreckliches wie 30% haben "Passwort" oder eine andere Variante als Passwort verwendet (p @ $$ w0rd, etc). . Das überzeugt das Management , dass dies erforderlich geschehen.
Da wir einen höheren Wert hatten, mussten wir uns bei der Auswahl eines Intervalls mit dem Sommer auseinandersetzen. Viele unserer Fakultäten unterrichten im Sommer nicht, daher musste sich unser Helpdesk auf die Anrufe "Ich habe mein Passwort vergessen" einstellen, da sie alle im September zurückkehren. Ich denke, und ich kann mich irren, dass unser Intervall 6 Monate beträgt, mit Ausnahme des Sommerquartals. Wenn Ihr 6-Monats-Passwort also Mitte August abläuft, wird es nach dem Zufallsprinzip neu programmiert und von Ende September bis Anfang Oktober zurückgesetzt.
Eine bessere Frage ist, wie oft Ihr Dienstprogrammkonto und Ihre Administratorkennwörter rotiert werden. Allzu oft scheinen diese von den Richtlinien zur Kennwortänderung ausgenommen zu werden. Wer möchte all diese Skripte durchgehen, um das Kennwort für das Dienstprogrammkonto zu ändern? Einige Sicherungssysteme erschweren das Ändern von verwendeten Kennwörtern, wodurch das Ändern von Administratorkennwörtern nicht empfohlen wird.
Wie hilft der Kennwortablauf bei schlechter Kennwortqualität? (Obwohl ich sicherlich
feststellen
Unser Passwortänderungsprozess beinhaltet auch Qualitätsprüfungen. Es hilft also nicht direkt, aber in Verbindung mit Qualitätsprüfungen erhöhen beide die Angriffsresistenz.
sysadmin1138
0
Ein Hauptproblem beim häufigen Ablaufen von Kennwörtern besteht darin, dass die Benutzer Schwierigkeiten haben, sich diese zu merken. In diesem Fall verwenden Benutzer schwache oder ähnliche Kennwörter. Wenn Ihre Richtlinien dies nicht zulassen, schreiben sie die Kennwörter auf, damit sie sich leichter merken können . Sie werden auch mehr Passwortänderungsanforderungen haben, wenn die Leute sie vergessen.
Persönlich hängt es davon ab, wofür das Passwort verwendet wird, aber ich behalte ein Passwort in der Regel nicht länger als 3 Monate, es sei denn, es handelt sich um ein vollständiges Wegwerfkonto. Für risikoreichere Sachen ist jeder Monat oder so gut, und ändern Sie es trotzig, wenn jemand anderes, der es weiß, geht. Da ich in einem kleinen Computer-Support-Unternehmen arbeite, haben wir mehrere Kennwörter, die von vielen Personen gemeinsam verwendet werden. Daher möchten wir diese nicht häufig ändern, da dies zu Störungen führen kann.
Bisher interessante Kommentare. Natürlich, warum ist es immer umstritten, dass das Speichern von Passwörtern in einem Unternehmen ein technisches oder ein nicht-technisches Personalproblem darstellt? Was hat die Fähigkeit eines Menschen, mit Computerhardware / -software umzugehen, mit seiner Fähigkeit zu tun, die Sicherheit ernst zu nehmen? Gibt eine nicht technische Person ihre Kreditkarten- oder Debit-PINs aus? Auch Personen, die Passwörter auf Post-It-Zetteln an ihrem Schreibtisch ablegen, sollten als Kündigungsgrund dienen. Es ist erstaunlich, wie sich das Gedächtnis der Menschen verbessert, wenn sie erkennen, dass Sicherheit wichtig ist und ernst genommen werden muss. Ich sehe es nicht anders, dass die Rolle von Dresscodes und Verhaltensregeln bei der Arbeit. Befolgen Sie die Regeln oder auf Wiedersehen!
Ich denke, dass ein sichereres Passwort viel wichtiger ist, als es häufig zu ändern, aber beides ist definitiv für ein sicheres System notwendig.
Das Argument besagt, dass komplexe Passwörter schwer zu merken sind und dazu führen, dass Mitarbeiter sie aufschreiben. Ich bin davon überzeugt, dass die überwiegende Mehrheit der Angriffe von außen erfolgt und dass es sicherer ist, ein komplexes Kennwort aufzuschreiben und auf Ihren Monitor zu übertragen, als ein einfaches Kennwort zu speichern.
Tatsächlich kommt die überwiegende Mehrheit der Angriffe an unserem Arbeitsplatz von Studenten, die in Büros einbrechen, um auf Tests zuzugreifen oder die Noten zu ändern. In früheren (nicht akademischen) Positionen kam die überwiegende Mehrheit der Angriffe vom Social Engineering.
Karl Katzke
Die meisten Benutzer haben ihre Namen außerhalb ihres Büros auf einem Typenschild. Es ist nicht so schwer, den Unternehmensstandard in Benutzernamen zu finden - dann ist es ganz einfach, das Typenschild an der Tür mit dem Kennwort unter der Tastatur abzugleichen. Außerdem sollten Sie sich vor
Mei
0
Ich implementiere eine einmalige Pad- und Time-Token-basierte Authentifizierung, also theoretisch jedes Mal, wenn sich der Benutzer anmeldet.
Obwohl dies nicht zum Thema gehört, scheint ein einmaliger Block eine überlegene Lösung zu sein.
Ebenso und im Grunde genommen wird es viel bewirken, sicherzustellen, dass der Benutzer ein sicheres Kennwort erstellt und die Ethik hinter Ihrer Sicherheitsrichtlinie versteht (schreiben Sie es nicht auf, machen Sie es nicht zu Ihrem Geburtstag, geben Sie es niemandem) weiter, als sie einfach zu zwingen, es jedes n-te zeitbasierte Intervall zu ändern.
Antworten:
Es gibt hier eine feine Grenze zwischen nie ändern und zu oft ändern. Es ist oft keine gute Lösung, jahrelang die gleichen Passwörter zu haben, besonders wenn diese öffentlich verfügbar sind. Aber das Erzwingen einer rigiden Politik, diese zu oft zu ändern, hat auch schlimme Nebenwirkungen. An einem Ort, an dem ich gearbeitet habe, mussten alle Benutzer im internen Netzwerk alle 6 Wochen die Passwörter ändern, und das Passwort konnte nicht mit den sechs vorherigen Passwörtern identisch sein. Drei falsche Passwörter haben die Workstation gesperrt und das IT-Personal musste sie entsperren. Dies führte dazu, dass jeder das Passwort auf Post-It-Notizen schrieb, die auf dem Bildschirm hingen oder in seine Schublade gelegt wurden. Albtraum.
Ich würde sagen, dass das Ändern des Passworts alle 6 Monate ausreichend sein sollte. Dies vermeidet die gefürchteten Post-It-Zettel.
quelle
Ich würde vorschlagen, ein bisschen Mathematik zu verwenden, das Ihre minimale Kennwortkomplexität, die Geschwindigkeit, mit der ein Angreifer Kennwörter erraten kann, die Anzahl der entsperrten Konten und einige informierte Informationen zu Ihren Risiken berücksichtigt.
Hoffentlich haben Sie eine Art Ratenbegrenzung für das Erraten von Passwörtern. Normalerweise geschieht dies über etwas, das Konten nach einer gewissen Anzahl falscher Kennwörter vorübergehend sperrt.
Und hoffentlich haben Sie einige Anforderungen an die Kennwortkomplexität, sodass "A" und "Kennwort" nicht zulässig sind.
Nehmen wir an, dass Sie nach 30 Kennwortfehlern in 10 Minuten ein Konto für 20 Minuten sperren. Dadurch wird die Rate der Kennwortschätzungen effektiv auf 174 pro Stunde oder 4176 pro Tag begrenzt. Aber nehmen wir an, es ist pro Benutzer.
Angenommen, Sie benötigen Kennwörter mit mehr als 8 Zeichen, die ein oberes, ein unteres und ein numerisches Kennwort enthalten, und Sie führen einige Wörterbuchprüfungen durch, um sicherzustellen, dass diese Kennwörter einigermaßen zufällig sind. Im schlimmsten Fall setzen Ihre Benutzer alle die eine obere und die eine Zahl an die gleiche Stelle, und Ihr Angreifer weiß es, sodass Sie 10 * 26 ^ 7 (80G) mögliche Kennwörter haben. Der beste Fall ist 62 ^ 8 (218T).
Ein Angreifer, der jedes mögliche Passwort ausprobiert, würde im schlimmsten Fall alle innerhalb von 50.000 Jahren treffen und im besten Fall fast 600 Millionen Jahrtausende. Oder anders ausgedrückt: In einem Jahr hätten sie zwischen 1 zu 50.000 und 1 zu 52.000.000.000 erraten. Wenn Sie eine Nutzerbasis von 50.000 haben, ist es fast garantiert, dass sie im schlimmsten Fall ein Konto pro Jahr eröffnen und eine Chance von ungefähr 50% haben, alle 6 Monate ein Konto zu erhalten.
Und wenn Sie keine Geschwindigkeitsbegrenzung hätten und ein Angreifer eine Milliarde Passwörter pro Tag erraten könnte? Eine Chance von 1 zu 600, in einem Jahr ein Konto zu eröffnen, oder eine virtuelle Garantie dafür, dass jedes Jahr etwa 80 von 50.000 Nutzern registriert werden.
Arbeiten Sie an dieser Mathematik und finden Sie heraus, wo Ihr akzeptables Risiko liegt. Und denken Sie daran, je kürzer Sie es einstellen, desto schwieriger wird es für die Benutzer, sich daran zu erinnern, und desto wahrscheinlicher wird es für einen Angreifer vor Ort aufgeschrieben.
Als zusätzlichen Bonus: Wenn jemand Tausende von Passwörtern pro Benutzer und Tag gegen Ihre Systeme versucht, hoffe ich wirklich, dass Sie eine Art Überwachung haben, die dies aufgreift.
EDIT: Vergessen zu erwähnen: Unsere aktuelle Politik ist 90 Tage, aber das hat alles mit Erkenntnissen von fehlgeleiteten Sicherheitsprüfern zu tun und nichts mit der Realität zu tun.
quelle
90 Tage scheinen für die meisten Szenarien ausreichend zu sein. Meine größte Sorge ist die Komplexität des Passworts. Mehr als das Zeitfensterproblem beim Erstellen von Post-It-Notizen ist die erzwungene Komplexität. Es ist eine Sache, Wörterbuchwörter und andere zu vermeiden, Sonderzeichen zu haben, aber wenn Sie sagen, dass sich keine Zeichen wiederholen können oder in aufsteigender / absteigender Reihenfolge vorkommen, haben Sie Ihren Benutzern das Leben schwer gemacht. Fügen Sie das zu einem kurzen Kennwortleben hinzu, und Sie haben gerade in mehr Ausgaben begrüßt.
quelle
Das Ablaufen des Passworts ist ärgerlich und verringert die Sicherheit.
Der Kennwortablauf schützt vor der Situation, in der ein Angreifer das Kennwort eines Benutzers bereits einmal missbraucht hat, aber nicht über einen Mechanismus verfügt, mit dem er fortlaufend feststellen kann, um welche Art von Kennwort es sich handelt (z. B. Keylogger).
Es macht es jedoch auch schwieriger, sich Kennwörter zu merken, wodurch die Wahrscheinlichkeit steigt, dass Benutzer sie aufschreiben.
Da die Abwehr eines bereits kompromittierten Passworts nicht unbedingt erforderlich ist (wie Sie hoffen), halte ich das Ablaufen des Passworts für sinnlos.
Fordern Sie die Benutzer auf, zunächst ein sicheres Kennwort zu wählen. Ermutigen Sie sie, sich daran zu erinnern, und fordern Sie sie dann nicht auf, es jemals zu ändern, sonst schreiben sie sie überall auf.
quelle
Wenn Sie ein Gerät haben, das "hohe bis ultrahohe" Sicherheitsgarantien benötigt, ist es besser, ein Hardware-Token zu verwenden, das Einmalkennwörter generiert, anstatt sich auf das Ablaufen von Kennwörtern zu verlassen.
Der Hauptgewinn für ein Kennwortablaufsystem besteht darin, dass Sie möglicherweise ein Konto deaktiviert haben, wenn der Kontoinhaber die Organisation verlässt, da eine zusätzliche Überprüfung und ein zusätzlicher Saldo für das Konto deaktiviert werden sollten, wenn der Kontoinhaber ein Konto hat Blätter".
Das Erzwingen des Kennwortablaufs führt bestenfalls zu niedergeschriebenen Kennwörtern hoher Qualität und im schlimmsten Fall zu falschen Kennwörtern (an einem früheren Arbeitsplatz, als wir gezwungen waren, den Kennwortablauf zu verwenden, habe ich (im Wesentlichen) prefixJan2003, prefixFeb2003 usw. verwendet on, da meine bevorzugte Methode zum Generieren von Passwörtern (48 zufällige Bits, Base64-codiert) nicht auf "jeden Monat neue Passwörter" skaliert.
quelle
Ich denke, wenn Sie 10 verschiedene Sicherheitsexperten diese Frage stellen, erhalten Sie 10 verschiedene Antworten.
Dies hängt stark davon ab, wie kritisch das Asset ist, das durch das Kennwort geschützt wird.
Wenn Sie über ein hochsicheres Asset verfügen, müssen Sie die Kennwortablaufrichtlinie so kurz festlegen, dass kein externer Eindringling Zeit hat, ein Kennwort zu erzwingen. Eine weitere Variable in dieser Situation ist die Komplexität der Kennwörter.
Für Systeme mit niedriger bis mittlerer Sicherheit halte ich eine Ablauffrist von 6 Monaten für sehr fair.
Für eine hohe Sicherheit halte ich einen Monat für besser - und für "ultra" sichere Installationen wären noch kürzere Zeiträume zu erwarten.
quelle
Wir erzwingen einen 90-tägigen Ablauf des Kennworts für alle hier (einschließlich uns selbst).
Meistens, weil es einfach Best Practices sind. Die Wahrscheinlichkeit, dass jemand ein "schwaches" Kennwort verwendet, ist größer als ein "stärkeres" Kennwort. Je länger Sie das Kennwort unverändert lassen, umso länger kann es dauern, bis eine unentdeckte Sicherheitsverletzung auftritt.
quelle
Wir verfallen jedes Jahr nach Ablauf der Gültigkeitsdauer von Passwörtern und benötigen sichere (vorzugsweise zufällige) Passwörter, die länger als 10 Zeichen sind. Wir führen Wörterbuchangriffe auf die Passwörter von Personen durch, wenn diese diese ändern. Wir behalten vergangene Passwort-Hashes bei, damit Passwörter nicht wiederverwendet werden können. Wir überprüfen auch mögliche Daten im Passwort, wie vatine sagte. ;) Der letzte war mein Zusatz ...
Bei einem früheren Job haben wir versucht, auf Veranlassung eines neuen Netzwerksicherheitsadministrators häufiger abzulaufen - alle zwei Monate. Zwei Wochen nach dem ersten erzwungenen Wechsel führte ich ihn durch unsere Verwaltungsbüros, und wir schauten unter die Tastaturen und Mauspads der Leute. Über 50% von ihnen hatten ein Passwort auf einem Post-It darunter geschrieben. Er war froh, die Politik zu lockern, nachdem wir uns hingesetzt und mit dem Verwaltungspersonal gesprochen hatten - sie waren der Meinung, dass sie nicht lange genug Zeit hatten, um es sich zu merken.
Der Großteil unserer Arbeit besteht heutzutage aus Single Sign-On innerhalb weniger Silos. Campus-Ressourcen (für die meisten Menschen selten verwendet) befinden sich in einem Silo, und dieses Kennwort wird von unserer zentralen IT-Gruppe verwaltet. Abteilungsressourcen (täglich verwendet - Maschinenanmeldung, E-Mail, Website-Bearbeitung, Fotokopierer) sind ein Passwort, das von unserer Gruppe verwaltet wird und ebenfalls jährlich abgelaufen ist. Wenn sich Leute über Frustrationen beschweren, weisen wir darauf hin, dass sie wirklich nur ein Passwort haben, an das sie sich erinnern müssen.
In diesen Tagen erstelle ich eine MD5-Summe für eine zufällige Datei in / var / log und verwende eine Teilmenge davon für meine Passwörter.
quelle
Wir hatten vor ein paar Jahren viele Diskussionen darüber, als wir begannen ein Passwort Ablaufrichtlinie. Wir hatten gerade einen kurzen Lauf mit Regenbogentischen gegen den AD-Baum beendet, um zu sehen, wie schlimm es war, und es war ziemlich schrecklich. Eine atemberaubende Anzahl von Benutzern hat ihr "Helpdesk Temp" -Passwort immer noch verwendet, nachdem sie zum Zurücksetzen des Passworts angerufen / vorbeigekommen waren. Etwas Schreckliches wie 30% haben "Passwort" oder eine andere Variante als Passwort verwendet (p @ $$ w0rd, etc). . Das überzeugt das Management , dass dies erforderlich geschehen.
Da wir einen höheren Wert hatten, mussten wir uns bei der Auswahl eines Intervalls mit dem Sommer auseinandersetzen. Viele unserer Fakultäten unterrichten im Sommer nicht, daher musste sich unser Helpdesk auf die Anrufe "Ich habe mein Passwort vergessen" einstellen, da sie alle im September zurückkehren. Ich denke, und ich kann mich irren, dass unser Intervall 6 Monate beträgt, mit Ausnahme des Sommerquartals. Wenn Ihr 6-Monats-Passwort also Mitte August abläuft, wird es nach dem Zufallsprinzip neu programmiert und von Ende September bis Anfang Oktober zurückgesetzt.
Eine bessere Frage ist, wie oft Ihr Dienstprogrammkonto und Ihre Administratorkennwörter rotiert werden. Allzu oft scheinen diese von den Richtlinien zur Kennwortänderung ausgenommen zu werden. Wer möchte all diese Skripte durchgehen, um das Kennwort für das Dienstprogrammkonto zu ändern? Einige Sicherungssysteme erschweren das Ändern von verwendeten Kennwörtern, wodurch das Ändern von Administratorkennwörtern nicht empfohlen wird.
quelle
Ein Hauptproblem beim häufigen Ablaufen von Kennwörtern besteht darin, dass die Benutzer Schwierigkeiten haben, sich diese zu merken. In diesem Fall verwenden Benutzer schwache oder ähnliche Kennwörter. Wenn Ihre Richtlinien dies nicht zulassen, schreiben sie die Kennwörter auf, damit sie sich leichter merken können . Sie werden auch mehr Passwortänderungsanforderungen haben, wenn die Leute sie vergessen.
Persönlich hängt es davon ab, wofür das Passwort verwendet wird, aber ich behalte ein Passwort in der Regel nicht länger als 3 Monate, es sei denn, es handelt sich um ein vollständiges Wegwerfkonto. Für risikoreichere Sachen ist jeder Monat oder so gut, und ändern Sie es trotzig, wenn jemand anderes, der es weiß, geht. Da ich in einem kleinen Computer-Support-Unternehmen arbeite, haben wir mehrere Kennwörter, die von vielen Personen gemeinsam verwendet werden. Daher möchten wir diese nicht häufig ändern, da dies zu Störungen führen kann.
quelle
Bisher interessante Kommentare. Natürlich, warum ist es immer umstritten, dass das Speichern von Passwörtern in einem Unternehmen ein technisches oder ein nicht-technisches Personalproblem darstellt? Was hat die Fähigkeit eines Menschen, mit Computerhardware / -software umzugehen, mit seiner Fähigkeit zu tun, die Sicherheit ernst zu nehmen? Gibt eine nicht technische Person ihre Kreditkarten- oder Debit-PINs aus? Auch Personen, die Passwörter auf Post-It-Zetteln an ihrem Schreibtisch ablegen, sollten als Kündigungsgrund dienen. Es ist erstaunlich, wie sich das Gedächtnis der Menschen verbessert, wenn sie erkennen, dass Sicherheit wichtig ist und ernst genommen werden muss. Ich sehe es nicht anders, dass die Rolle von Dresscodes und Verhaltensregeln bei der Arbeit. Befolgen Sie die Regeln oder auf Wiedersehen!
quelle
Ich denke, dass ein sichereres Passwort viel wichtiger ist, als es häufig zu ändern, aber beides ist definitiv für ein sicheres System notwendig.
Das Argument besagt, dass komplexe Passwörter schwer zu merken sind und dazu führen, dass Mitarbeiter sie aufschreiben. Ich bin davon überzeugt, dass die überwiegende Mehrheit der Angriffe von außen erfolgt und dass es sicherer ist, ein komplexes Kennwort aufzuschreiben und auf Ihren Monitor zu übertragen, als ein einfaches Kennwort zu speichern.
quelle
Ich implementiere eine einmalige Pad- und Time-Token-basierte Authentifizierung, also theoretisch jedes Mal, wenn sich der Benutzer anmeldet.
Obwohl dies nicht zum Thema gehört, scheint ein einmaliger Block eine überlegene Lösung zu sein.
Ebenso und im Grunde genommen wird es viel bewirken, sicherzustellen, dass der Benutzer ein sicheres Kennwort erstellt und die Ethik hinter Ihrer Sicherheitsrichtlinie versteht (schreiben Sie es nicht auf, machen Sie es nicht zu Ihrem Geburtstag, geben Sie es niemandem) weiter, als sie einfach zu zwingen, es jedes n-te zeitbasierte Intervall zu ändern.
quelle