Yönetici / kök parolanızı ne sıklıkla değiştirirsiniz?

12

Etki alanımdaki yönetici şifresini nadiren değiştirme konusunda kötü bir alışkanlığım var. Kullandığım şifreler oldukça iyi ama bu konuda daha tutarlı olmak istiyorum.

Sizce iyi bir sıklık nedir? Her 6 ayda bir?

password 
user24555
kaynak
90 gün, şifreleri değiştirmek için iyi bir genel en iyi uygulamadır.
Warner
Unix altında sudo gibi bir araç kullanabilirsiniz, bu da belirli kullanıcılara kısa bir süre için kök ayrıcalık verilebilir. Kök şifresini bilmeleri gerekmez. Aslında, bir sete sahip olmamanız veya hiç bilmemeniz gerekir. Bu durumda değiştirmenize gerek yoktur. Kullanıcıların kendi şifrelerini değiştirmeleri gerekecektir.
Matt
Tanrım, tüm bu yazıları okuduktan sonra, bazen çalıştığım bir alanın (sysadmin değilim, ancak bir yönetici hesabım var) administrator, 7 yıldır şifrenin aynı olduğu bir gerçeği biliyorum , ve sadece 8 karakter uzunluğunda. Belki onlara bir e-posta gönderirim ...
Mark Henderson

Yanıtlar:

9

Hızlı bir hesaplama yapalım (ve bir an için en iyi uygulamaları unutalım):

Bir saldırganın sisteminizi hacklemesi için altı aylık bir zaman dilimi varsayalım. Ayrıca, parolaların 62 boyutunda bir karakter kümesinden rastgele seçildiğini varsayalım.

Senaryo 1: Altı ay boyunca 9 karakterlik bir parola kullanırsınız.

Senaryo 2: İlk üç ay için 9 karakter ve geri kalan üç ay için farklı 9 karakterlik parola kullanırsınız.

Senaryo 3: Altı ay boyunca 10 karakterlik bir parola kullanırsınız.

Gelen Senaryo 1 o zaman 62 ^ 9 girişimlerini yapabiliyorsa, bir kaba kuvvet saldırganın,% 100 kesinlikle hesabınızı kesmek.

In Senaryo 2 , o devre (üç ay) sadece (62 ^ 9) / 2 girişimi yapabilir, o% 50 kesin hesap kesmek gerekir. İkinci yarıda,% 50 kesinlik ile bir şans daha elde edecek. İstatistiksel olarak, hesabı% 75 kesinlikle kesecek.

Gelen Senaryo 3 , o bütün altı ay için 62 ^ 9 girişimleri olacak. Ancak 62 ^ 10 olasılık vardır. Bu yüzden hesabı sadece 1/62 kesin olarak hackleyecek, bu yaklaşık% 1.6.

Dolayısıyla, diğer tüm faktörleri dışarıda bırakırsak (çalınan şifreler ve diğer saldırı türleri gibi), daha sık değiştirilse bile daha kısa (veya daha basit) şifreler kullanmak yerine daha uzun şifreler seçmeniz önerilir. Özellikle, Senaryo 3'te hatırlanması gereken sadece 10 karakter vardır, Senaryo 2'de ise 18 karakterdir.

Chris Lercher
kaynak
2
+1, Çok uzun parolalar kullanın. Kimse aslında 6 ay içinde 18+ karakterlik bir şifre kırmayacak. Verilerinizin gerçekten bu kadar kötü olmasını istiyorlarsa, sadece içeri girip sunucuyu çalarlar.
Chris S
Bunu sev, iyi koy. Parolalarla ... boyut önemlidir.
Kara Marfia
Bu yüzden iyi bir uzun parola o zaman oldukça uzun bir süre için iyi yapmalıdır. Sanırım iyi bir şifre kullanacağım ve 12 aylık bir döngü yapacağım. Bu bana kırılacak her şeyi belgelemek için iyi bir fırsat verecektir (maalesef). Düzenleme: İyi demek istediğim 16+ karakter. Noktalama işaretleri, boşluklar ve her şeyi içeren cümleler kullanmayı seviyorum.
user24555
Birisi bir şifre zorlama hakkında konuştuğunda hep kıkırdarım. Bu olmayacak. Dönemi. Sadece NSA (veya eşdeğeri) veya organize suç bunu yapabilir, bu durumda yine de iyi bir şifre ile çözülemeyen çok daha büyük sorunlarınız vardır.
Dan Andreatta
Önceki yoruma ek olarak, hızlı bir matematik yaptım ve 8 karakterlik bir şifre için 10 yıla götüren modern bir masaüstü ile 6 karakterlik bir şifre kırmak yaklaşık 1 gün sürer. Eğer opensl hız testinden ise şifreleme performansı.
Dan Andreatta
2

Çoğunlukla pencereleriz ve yöneticilerin her birinin kendi etki alanı yönetici hesabı vardır ve güçlü parolalara ve ara sıra değiştirmek için birbirimize güveniyoruz. Eminim herkesin güçlü parolaları vardır, çünkü uzun olduklarından ve içinde rakamlar ve / veya karakterler bulunduğundan emin olmak için akran baskısı kullanırız, ancak bunları yeterince sık değiştirmeyiz. \

ADDED: Şimdiye kadar, çoğu insan bunu duymuş olabilir, ama her ihtimale karşı. Şifreleme ve güvenlik uzmanı Bruce Schneier , güçlü parolalara sahip olmanız ve bunları yazmanız gerektiğini söylüyor .

Koğuş - Monica'yı eski durumuna döndürün
kaynak
Bu akran baskısı nasıl çalışır? İnsanlar birbirlerinin şifrelerini görebiliyor mu?
Bill Weiss
2
Deneyimlerime göre hiçbir kullanıcıya, hatta BT personelinin bile şifresini değiştirmesi için güvenilemez.
ITGuy24
@ Fatura: sadece 3 kişiyiz ve uzun zamandır birlikte çalıştık, bu yüzden akran baskısı "O zamanlar herhangi bir sayı yazdığını görmedim ..."
Ward - Monica'yı
Bu çok iyi ölçeklenmiyor :) Ayrıca, diğer sitelere çok sık giderseniz, yönetici parolalarını yazmayı izleme alışkanlığına sahip olmak iyi gitmeyecektir.
Bill Weiss
"Küflü kavanoz" gibi bir şeye sahip olmaya ne dersin? Başka bir yönetici şifrenizi kırmayı başarabilirse (ophcrack gibi bir şey kullanarak) pota 5 dolar koymanız gerekir.
Nic
1

Teorik olarak parolaları sık sık değiştirmek çok daha iyi olsa da, bir-sonrası-faktörün üzerine yazalım, geçerlilik süresi kısaldıkça katlanarak artar.

Bu yalnızca özel kullanım içinse, neden ortak anahtar kimlik doğrulamasını kullanmıyorsunuz ve anahtarlığınız için sadece iyi bir PW'ye sahip olmuyorsunuz?

Alexander T
kaynak
1
Bu sorunun şifreleri yönetmek için tonlarca fikri vardır: serverfault.com/questions/21374/…
Ward - Reinstate Monica
1

Aslında alan adı için Yönetici hesabından mı bahsediyorsunuz (SID: S-1-5-21alan-500) veya kendiniz için oluşturduğunuz yönetici hesabından mı bahsediyorsunuz?

Genellikle Yönetici hesabını uzun (20+ karakterlik bir şifre) olacak şekilde ayarlayacağım ve şifreyi güvenli bir yerde saklayacağım ve asla bu hesabı kullanmam. Bu şifreyi genellikle her yıl değiştiririm. Ağımız ayrıca herhangi bir uzak kaba kuvvet saldırısının çok etkili olmasını önleyecek kilitleme sistemlerine sahiptir. Şifreyi günlük işler için asla kullanmadığımdan, ele geçirilme olasılığı neredeyse hiç yok.

Kişisel hesabımdan bahsettiğim için yönetici ayrıcalıkları verdim, yaklaşık her 6 ayda bir değiştiririm. Ayrıca, mümkün olduğunda anahtar tabanlı kimlik doğrulaması kullanma eğilimindeyim, böylece şifrem çok nadiren her yere aktarılıyor. Ayrıca çoğu insanın yüksek riskli sistemler olarak göreceğini düşündüğüm şeylerle de çalışmıyorum.

Zoredache
kaynak
Alan adı yöneticisinden bahsediyorum. Kendi hesabım, alan adı yönetici grubunun bir parçası değil. Orijinal etki alanı yöneticisini kullanmayı bırakmanın ve farklı bir kullanıcı adıyla ikincil bir etki alanı yöneticisi yapmanın iyi bir uygulama olacağını düşünüyorum.
user24555
0

Ne kadar karmaşık şifreler ayarlamış olursanız olun. Şifrenizi her 30 ila 42 günde bir değiştirmek her zaman iyi bir uygulamadır. 6 ay çok eski bir şifre. Güvenli kalmak için her zaman iyi bir şifre politikası uygulanmalıdır :-)

Vivek Kumbhar
kaynak
4
Nerede "30 ila 42 gün" bulursunuz?
Bill Weiss
Ortamınıza bağlı olarak parolaların her 30 ila 90 günde bir süresinin dolması en iyi güvenlik yöntemidir. Bu şekilde, bir saldırganın kullanıcının parolasını kırması ve ağ kaynaklarınıza erişmesi için sınırlı bir süresi vardır. Varsayılan: 42. Sözlerim değil, "En İyi Uygulamalar" dan alınmıştır
Vivek Kumbhar
1
Bize bunun sadece 'en iyi uygulama' olduğunu tekrarlamak yerine, bunun belirtildiği bir belgeye veya referansa bağlantı vermeye ne dersiniz? Güvenilir bir kaynakta yayınlanmadığı sürece genellikle bir şeyin en iyi uygulama olduğunu düşünmeyi reddediyorum.
Zoredache
1
Vivek Kumbhar
Tarayıcımın arama aracı bozuk olmalı. Orada "42" görmüyorum.
Bill Weiss
-1

Normalde yalnızca bir personel ayrıldıktan sonra root şifrelerini sıfırlarım ... ancak sudo erişimi olan kullanıcıları 90 günde bir değiştirmeye teşvik ediyorum.

Philip
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.