Gibt es einen Sicherheitsvorteil bei einer sich regelmäßig ändernden Passwortrichtlinie?

14

Ich habe in mehreren Fällen festgestellt, dass das Erzwingen einer regelmäßigen Änderung des Kennworts für die Benutzer eher eine Belastung für die Wartung als eine Hilfe für die Sicherheit darstellt. Außerdem habe ich gesehen, wie Benutzer ihre neuen Passwörter aufschreiben, da sie entweder nicht genug Zeit haben, sich ihre Passwörter zu merken, und sich nicht die Mühe machen müssen, ein anderes zu lernen.

Welchen Sicherheitsvorteil bietet das Erzwingen einer Änderung von Kennwörtern?

security password gak
quelle

Antworten:

8

Hier ist eine andere Einstellung als im SANS-Tagebuch:
Kennwortregeln: Ändern Sie sie alle 25 Jahre

Es gibt einen praktischen Vorteil. Wenn jemand Ihr Passwort hat und nur Ihre E-Mail lesen und unentdeckt bleiben möchte, kann er dies für immer tun, es sei denn, Sie ändern irgendwann Ihr Anmeldegeheimnis. Ein regelmäßiges Ändern des Passworts hilft daher nicht viel, wenn jemand in Ihr Konto einbricht und es mit Ihren Waren abschaltet. Es gibt Ihnen jedoch die Möglichkeit, Stalker oder Snooper abzuschütteln, die möglicherweise auf Ihr Konto zugreifen. Ja das ist gut. Aber ob dieser Vorteil allein den Aufwand wert ist und die erwähnten Nachteile, Benutzer dazu zu zwingen, ihr Passwort alle 90 Tage zu ändern, habe ich meine Zweifel.

nik
quelle
Und dieser Artikel übersieht den einen entscheidenden Punkt - ohne dass ein Kennwort geändert werden muss, muss am Ende jeder das Kennwort aller anderen kennen. Interne Bedrohungen sind ein viel höheres Risiko als externe.
Doug Luxem
@DLux, Warum gehen Sie davon aus, dass die Benutzer ihre Passwörter niemals ändern werden? Mit der Zeit müssen die Menschen lernen, ihre Ressourcen auf der Grundlage des Werts zu schützen, den sie in ihnen sehen (und nicht durch behördliche Maßnahmen). Wenn ein Benutzer präventiv dazu gezwungen wird, wird er sehr wahrscheinlich nach einer Möglichkeit suchen (und diese finden), um dasselbe Kennwort nach der Änderung beizubehalten. Sie ändern das Passwort nur, wenn sie es wirklich wollen.
Nik
1
Es ist eine Tatsache, dass Benutzer ihre Passwörter miteinander teilen werden. Durch das Erfordernis gelegentlicher Änderungen wird diese Freigabe stark eingeschränkt (dh die gemeinsamen Kennwörter, von denen sie wissen, dass sie nicht mehr funktionieren). Wenn Sie nicht glauben, dass Ihre Benutzer Kennwörter gemeinsam nutzen, kennen Sie sie wahrscheinlich nicht gut genug.
Doug Luxem
1
@DLux, ich kenne sie gut genug, um zu beobachten, dass bei der Weitergabe von Passwörtern jeder der Wissenden das Passwort ändern würde, wenn er dazu gezwungen wird - und wahrscheinlich mit einem vordefinierten Muster. Es ist sehr schwierig, Algorithmen zu entwerfen, die das Social Engineering des menschlichen Geistes berücksichtigen. Irgendwo drin ist eine Unvollständigkeit der Gödelschen Art.
Nik
11

Erzwingen Sie eine Kennwortänderung, wenn Sie sie erraten (indem Sie ein Kennwortermittlungsprogramm für alle Benutzer ausführen).

Es ist schwer mit "Sie müssen Ihr Passwort ändern" zu argumentieren, wenn die Antwort auf "Warum?" ist "weil wir es blind erraten konnten". Es belohnt automatisch diejenigen, die schwer zu erratende Passwörter auswählen, und bringt Ihren Benutzern bei, welche Passwörter schwach sind. Wenn sie "password1" wählen, läuft es ab, bevor sie sich einmal anmelden können. Wenn ein Benutzer ein 16-stelliges, zufälliges, alphanumerisches Kennwort in Groß- und Kleinschreibung wählt, werden Sie es niemals erraten - und auch sonst niemand. Lassen Sie sie es sehr lange behalten, und sie werden es sogar auswendig lernen können.

retracile
quelle
Das ist hervorragend. Böse, aber brillant.
Akolyth
6

Es ist ein Kompromiss. Das Erfordernis häufiger Kennwortänderungen führt zu Kennwörtern mit geringerer Qualität. Diesbezüglich wurde sogar geforscht.

Abgesehen davon ist die einzige zuverlässige Möglichkeit, die Benutzer daran zu hindern, Kennwörter gemeinsam zu nutzen, das Erfordernis von regelmäßigen Kennwortänderungen. Meine Erfahrung zeigt, dass 90 Tage ein angemessener Kompromiss zwischen Benutzerfreundlichkeit und Sicherheit sind. Wenn Sie länger unterwegs sind, verlassen sich die Leute auf gemeinsame Passwörter - früher und Sie erhalten "November09", "Dezember09".

Doug Luxem
quelle
5

Das Schlimmste daran, eine Änderung der Passwörter zu erzwingen, ist nicht, dass Sie die Leute tatsächlich dazu bringen, ihre Passwörter zu ändern. Normalerweise kommt es mit wenig oder gar keiner Warnung und sie werden sofort mit einem Problem konfrontiert, mit dem sie sich sofort befassen müssen. Anstatt jemandem Zeit zu geben, ein gutes Passwort auszudenken, ist es wahrscheinlicher, dass es eines ist, das entweder weniger sicher ist aber leichter zu merken oder sicherer, aber es wird nur aufgeschrieben, wodurch der Sicherheitsvorteil zunichte gemacht wird.

Jason S
quelle
3
In einer normalen AD-Situation werden Sie bei jedem Login 15 Tage lang gewarnt, bevor dies erforderlich ist.
MDMarra
2

Wenn die Kennwörter so komplex sind, dass sie nicht leicht zu erraten sind und nicht von mehreren Systemen gemeinsam genutzt werden und es unwahrscheinlich ist, dass sie kompromittiert wurden, ist das Ändern eines Kennworts wahrscheinlich nicht so wichtig.

Sollte jedoch eines dieser Probleme auftreten, und die ersten beiden sind wahrscheinlich häufiger als das andere, bedeutet dies, dass Personen, die das Kennwort regelmäßig ändern müssen, zumindest weniger wahrscheinlich sind, Kennwörter gemeinsam zu nutzen.

Trotzdem möchte ich Ihre Benutzer darüber informieren, was ein gutes Passwort bedeutet und warum es sehr schlecht ist, sie zu teilen. Schreiben Sie sie auf, egal was Sie tun.

Ich empfehle Leuten, ein Passwort aus einem Buch zu wählen, das sie kennen, indem sie sich an ein nicht so bekanntes Zitat erinnern oder eine Phrase erfinden. Verwenden Sie den ersten Buchstaben jedes Wortes und fügen Sie dort irgendwo zwei Zahlen ein. Die meisten Menschen können sich daran erinnern, nachdem sie es einige Male getippt haben.

Michael Graff
quelle
2

Ich sehe keinerlei Vorteile in dieser Praxis.

Ein sicheres Passwort ist viel wichtiger. Mit stark meine ich entweder 9+ alphanumerische + spezielle Symbole oder ein 15+ [az] -normales Passwort / eine Phrase, die nicht aus dem Wörterbuch stammt (dies basiert auf einer kürzlich durchgeführten Studie über die Kosten für das Erzwingen von Passwörtern mit Amazon EC2).

Systeme, auf die über Fernzugriff zugegriffen werden kann, müssen über eine Software zur Erkennung und Verhinderung von Bruteforce (z. B. fail2ban) für alle offen gelegten Dienste verfügen. Dies ist viel wichtiger, IMO, als die reguläre Richtlinie zum Ändern von Passwörtern.

Chronos
quelle
Bei einem Brute-Force-Angriff wird jedoch davon ausgegangen, dass der Angreifer über eine Kopie Ihres verschlüsselten Kennworts verfügt. Wie oft passiert das wirklich?
Chris
Man könnte einen Bruteforce-Angriff entweder gegen eine Kennwortdatei (wie Sie sagen) oder gegen einen exponierten Netzwerkdienst mit Kennwortauthentifizierung ausführen. Um die Kennwortdatei abzurufen, muss mindestens ein gewisser Grad an Zugriff auf das Zielsystem (entweder physisch oder remote) vorhanden sein. Ich bin der Meinung, dass die Verwendung eines Exploits an diesem Punkt anstelle des Knackens von Kennwörtern eine sehr praktikable (und effiziente) Option ist. Zusammenfassend kann ich sagen, dass die Wahrscheinlichkeit, dass jemand eine Kopie der verschlüsselten Passwörter erhält, mit der Wahrscheinlichkeit vergleichbar ist, dass jemand nicht autorisierten Zugriff auf das Zielsystem erlangt (aber nicht beweisen kann) - mithilfe anderer Ansätze.
Chronos
Das Abwehren von Passwörtern ist um Größenordnungen langsamer als das Angreifen eines verschlüsselten Passworts. Normalerweise habe ich, wenn ich das verschlüsselte Passwort habe, bereits Zugriff auf Administratorebene oder physische Kontrolle.
Chris
das ist was ich sage :) Ich benutze nur "bruteforce" sowohl für Remote-Angriffe als auch zum Entschlüsseln von Passwörtern.
Chronos
2

Das Grundproblem ist, dass Passwörter als Sicherheitsmechanismus stinken.

Wenn Sie Leute bitten, sie häufig zu ändern, schreiben sie sie auf. Wenn Sie sie auffordern, 30-Buchstaben-Passwörter mit mindestens 3 Ziffern, 4 Großbuchstaben und einem Steuerzeichen zu verwenden, vergessen sie sie oder schreiben sie auf oder tun andere dumme Dinge. Wenn sie einfach sind, verwenden Benutzer ein dummes Passwort wie bunny7 oder Bunny7. Und sie verwenden für alles das gleiche falsche Passwort, einschließlich ihres Pornokontos und ihres Hotmail-Kontos.

Ich mag Tools wie Mobile OTP , mit denen Benutzer ihr Handy als Zwei-Faktor-Authentifizierungs-Tool verwenden können.

Langfristig ist es wahrscheinlich, dass wir in einer Welt mit verschlüsselten Zertifikaten als Mechanismus zur Benutzeridentifizierung landen werden. Dinge wie OpenID und CAS vereinfachen die Benutzerauthentifizierung und ermöglichen eine bequeme Einzelanmeldung.

Langfristig ist es am besten, die Anzahl der Benutzer zu reduzieren, die Anmeldeinformationen ausstellen müssen. Entfernen Sie das Kennwort "HR" und das Kennwort "Arbeitszeitblatt" sowie das Kennwort "CRM". Vereinheitlichen Sie sie zu einer gemeinsamen Authentifizierungsinfrastruktur, bei der Benutzer ihre Anmeldeinformationen einmalig eingeben müssen. Dann lassen Sie sie so etwas wie MobileOTP oder eine RSA SecurID verwenden , die eine Zwei-Faktor-Authentifizierung verwendet.

Kurzfristig werden Passwortrichtlinien das Thema religiöser Kriege sein. Tun Sie einfach, was Ihr Chef von Ihnen verlangt, und wenn Sie der Chef sind, entscheiden Sie anhand Ihrer Benutzerbasis und des erwarteten Sicherheitsprofils.

Viel Glück!

chris
quelle
1

Diese Praxis, die nicht völlig nutzlos ist, war vor langer Zeit viel wichtiger. Die Debatte über diese Politik ist kontraproduktiv, da sie die Aufmerksamkeit von aktuellen Bedrohungen ablenkt, die viel schwerwiegender sind.

Erwägen:

  • Wenn Sie Windows / AD verwenden und für ein Konto nicht das Kontrollkästchen "Konto ist vertraulich und kann nicht delegiert werden" aktiviert ist, kann dieses Konto per Identitätswechsel verwendet werden, und es ist kein Kennwort erforderlich. Der Code dafür ist trivial.

  • Wenn die Windows-Arbeitsstation einer Person von einer Sicherheitsanfälligkeit betroffen ist, kann das Windows-Sicherheitstoken im Arbeitsspeicher verwendet werden, um auf andere Computer zuzugreifen. Auch hier ist kein Passwort erforderlich.

Der zweite Grund ist übrigens, warum Sie auf Server nur mit einem Konto zugreifen sollten, das sich von Ihrem normalen Benutzerkonto unterscheidet. Beachten Sie außerdem, dass beide Szenarien selbst die robustesten Zweifaktor-Authentifizierungsmechanismen vollständig außer Kraft setzen.

Das Beste, was in Bezug auf die Passwortsicherheit passieren kann, ist, die Diskussion zu beenden und sich auf die aktuelleren und ernsthafteren Bedrohungen zu konzentrieren.

Mehr Informationen:

Sehen Sie sich die Präsentation von Luke Jennings an: "Ein Zeichen, um alle zu regieren":

http://eusecwest.com/esw08/esw08-jennings.pdf

Insomnia Shell - Beispiel für den Code, der erforderlich ist, um Token auf einem ASP.Net-Server zu gefährden:

http://www.insomniasec.com/releases/tools

Gewusst wie: Verwenden der Protokollübertragung und eingeschränkten Delegierung in ASP.NET 2.0

http://msdn.microsoft.com/en-us/library/ms998355.aspx

Suche nach "ohne Passwort".

Greg Askew
quelle
0

Je länger ein Passwort unverändert bleibt, desto wahrscheinlicher ist es, dass es kompromittiert wird, einfach weil es mehr Gelegenheit gibt, in Situationen, in denen es kompromittiert werden könnte, aufzutreten (vorausgesetzt, es ist unendlich viel Zeit, alles ist möglich). Es macht es auch schwieriger, sich in Zukunft zu ändern, da sich der Benutzer an den alten gewöhnt hat. Ein weiteres Risiko besteht darin, dass bei einer Beeinträchtigung des Kontos des Benutzers und wenn der Benutzer sich dessen nicht bewusst ist, die Gefahr eines ernsthaften andauernden Missbrauchs des Kontos des Benutzers besteht. Regelmäßige Änderungen mindern zumindest, dass bei der nächsten erzwungenen Kennwortänderung das gefährdete Kennwort unbrauchbar wird.

Meiner Erfahrung nach ist das Szenario, in dem Benutzer am ehesten Kennwörter aufschreiben, ein Mangel an vernetztem Denken in Ihrer Sicherheitsinfrastruktur, z. B. das Vorhandensein mehrerer verschiedener Systeme, für die jeweils eine eindeutige Kombination aus Benutzername und Kennwort erforderlich ist. Werfen Sie 5 davon auf einen Benutzer und Sie bekommen mit aller Macht ein Gelb-Haftnotensyndrom.

Eine vernünftige Kennwortrichtlinie, mit der Benutzer Kennwörter auswählen können, die leicht zu merken, aber schwer zu knacken sind, gepaart mit einer guten Benutzerschulung, einer soliden integrierten Authentifizierung und angemessenen Sperr- und Ablaufrichtlinien die beste Weise.

Maximus Minimus
quelle
Einfach weil? bitte erkläre ! Sind Ihre Systeme ständigen Angriffen durch Dritte ausgesetzt? Vielleicht ist eine Art IDS in Ordnung, anstatt das Passwort zu ändern?
Tim Williscroft
Ich habe nie gesagt, dass es meine Systeme sind, aber nein, sie sind einem heimtückischen, schändlichen, elenden Haufen von Abschaum und Schurken ausgesetzt, der als "echte Endbenutzer" bekannt ist. Benutzer sind faul, sie kümmern sich nicht um die Sicherheit ("es ist das Problem eines anderen") und sie möchten nur, dass ihnen alles so einfach wie möglich wird. Es geht um einen Spagat.
Maximus Minimus
0

Wenn Sie Anmeldeinformationen zwischenspeichern (was die meisten Benutzer für die Verfügbarkeit tun), ist dies ein Muss. Wenn ein Computer physisch gestohlen wird und die Zwischenspeicherung von Anmeldeinformationen aktiviert ist, kann der Dieb den Computer brutal aus dem Netzwerk entfernen, ohne befürchten zu müssen, dass die Kontosperrungsrichtlinie aktiviert wird. Sie verfügen dann über gültige Anmeldeinformationen für Ihre Netzwerkressourcen. Das regelmäßige Ändern dieser Kennwörter kann dazu beitragen, diesen Schaden zu minimieren.

Dies ist der genaue Grund, warum Sie sich nie mit einem privilegierten Konto anmelden, sich immer als ein beschränkter Benutzer anmelden und einzelne Eingabeaufforderungen erhöhen. Dies verhindert, dass privilegierte Anmeldeinformationen im Falle eines Diebstahls / Einbruchs brutal erzwungen werden.

MDMarra
quelle
1
Das regelmäßige Ändern von Passwörtern hilft bei gestohlenen Computern nicht viel. es sei denn, Sie stellen immer sicher, dass das Kennwort abläuft, bevor es gestohlen wird ...: P Nur die dümmsten Hacker würden mehrere Tage warten, nachdem sie Zugriff erhalten haben, bevor sie es ausnutzen ...
Stein G. Strindhaug
0

Ich bin so im Lager, dass ich niemals Passwortänderungen benötige. Oder wie der Artikel sagt - alle 25 Jahre - ja, dann bin ich tot. Gut. Hier ist der Grund: Ich habe 12 Passwörter, die ich mir bei meiner Arbeit merken muss. Die meisten von ihnen ändern sich und diejenigen, die sich ändern, haben ganz andere Zeitpläne. Sie haben alle unterschiedliche Festigkeitsanforderungen. Wie kann ein schwacher Mensch damit umgehen? Mehrere Möglichkeiten, die ich gesehen habe: Schreiben Sie sie auf eine weiße Tafel. Schreiben Sie sie auf Papier und bewahren Sie sie in einer unverschlossenen Schublade auf. oder meine bevorzugte Methode: Speichern Sie sie in einer ziemlich unsicheren Google Doc-Tabelle. Sie können mich auf keinen Fall davon überzeugen, dass eine dieser Methoden (die SEHR verbreitet sind) keinen winzigen Sicherheitsvorteil ausgleichen kann, der durch das Erfordernis von Änderungen erzielt wird.

Ich habe Zeit, diesen Beitrag zu schreiben, da ich auf jemanden im IT-Support warte, der eines meiner Konten entsperrt. Anscheinend habe ich meine Tabelle beim letzten Mal nicht richtig aktualisiert. Gibt es eine Studie, die die MILLIARDEN Dollar berechnet, die durch diesen Unsinn verloren gehen?

Bob Damiano
quelle