Kullanıcılarımı her n gün / hafta / ay şifreleri değiştirmeye zorlamalı mıyım?

Soru her şeyi söylüyor. Güvenliğin çok önemli olduğu bir sistem tasarlıyoruz. Birinin sahip olduğu fikirlerden biri, kullanıcıları her 3 ayda bir şifreleri değiştirmeye zorlamaktı. Benim üstlenmem, daha güvenli olmasına rağmen, parola sık sık değiştiğinden, kullanıcılarımızı sürekli değişen şifreleri hatırlamaya zorlar ve hatırlamak için bir yere yazacaklarını daha mümkün kılar.

Aynı fikirde, kullanıcıları tahmin etmek çok zor bir şifre kullanmaya zorlamak gerçekten iyi. Onları?% &% Ve büyük harfleri büyük harf kullanmaya zorlayın. Ben böyle bir şifre icat ve daha sonra hatırlamak oldukça güç olduğunu biliyorum.

Sonra yine 12345 kullanan kimseyi istemiyoruz.

Yani. Bu konuda herhangi bir tanıtım belgesi var mı? İyi pratik?

PHP ile oluşturulmuş bir web sitesinden bahsediyorum. Bir lamba ortamında MySQL bir şey değiştirirse.

Sanırım bu konuda azınlıkta olabilirim (okuldaki ve işteki BT departmanlarıyla ilgili sınırlı deneyimime dayanarak), ancak zorunlu, zamana dayalı şifre değiştirme politikalarının en iyi değersiz ve en kötü ihtimalle zararlı olduğunu düşünüyorum. İnsanlar iyi şifreleri seçme ve gizli tutma konusunda çok kötü olma eğilimindedir. Parola sona erme politikaları, herhangi bir parolanın kırılabileceği / sosyal olarak tasarlanabileceği / çalınabileceği süreyi sınırlandırarak bunu hafifletmek için tasarlanmıştır; bununla birlikte, uygulamada bunu başaramazlar, çünkü kullanıcıları sürekli olarak parolalarını tekrar öğrenmeye zorlarlar. Kullanıcının parolalarını belleğe almasını zorlaştırarak, birçoğunun daha zayıf parolalar seçmesine ve / veya parolalarını meraklı gözlerin bulabileceği bir yere yazmasına neden olursunuz.

Ayrıca, parolalarını düzenli olarak değiştirmek zorunda kaldığında, birçok kullanıcı gibi çok tanınan bir modeli izleyen parolaları seçecektir [base string][digit]. Bir kullanıcının kedisinin adı Fluffy'yi şifre olarak kullanmak istediğini varsayalım. Onlar bir şifre ile başlayabilir fluffy, sonra bunu değiştirmek fluffy1, fluffy2, fluffy3vb. Bu durumda, politika güvenliğe gerçekten yardımcı olmaz; kullanıcı daha güvenli bir taban dizesi seçse fluffybile ve parolasını güvenli bir şekilde ezberlemiş olsa bile, birkaç ayda bir değişen tek sonek karakteri, çatlama veya sosyal mühendislik saldırılarını hafifletmek için çok az şey yapar.

Ayrıca bkz: Parola Geçerlilik Süresi Sonu Zararlı , bu sorunlara iyi bir giriş yaptığını düşündüğüm kısa bir makale (benim tarafımdan yazılmadı).

Büyük kuruluşum (15000+ kullanıcı) 2009 Güz döneminde her 120 günde bir "şifre değişiklikleri" uyguladı. Bu çok büyük bir BT baş ağrısı ve destek kaynaklarının israfı. Bu 120 günlük pencere her döndüğünde binlerce kullanıcı parolasını değiştirmek zorunda kalıyor ... birçoğu ya yanlış yapıyor ve hesaplarını kilitliyor .... ya da ertesi günü unutuyor. Mümkün olduğunca çok self servis yapmaya çalışsak da yardım masamız şifre çağrıları ile dolup taşmaktadır.

Kullanıcılarınızın / müşterilerinizin sizden nefret etmesini istiyorsanız ... ve ön saf BT personelinizin her fırsatta sizi yakması için ... şifre değişiklikleri uygulayın.

Parola değiştirme politikaları bazı BT Yöneticilerinde bir yere nasıl rezervasyon yapılacağı konusunda bir onay kutusudur ... ve 15 yıl önce yazılmıştır. Siperlerdeki politikayı gerçekten uygulayan veya destekleyen hiç kimse size bunun iyi bir fikir olduğunu söylemeyecektir.

Burada parolalar yerine "cümleleri geçmek" için savundu .... iyi yağ çok yaptı ... tünelin sonunda o ışık yaklaşmakta olan bir tren oldu. :)

Bir geçiş deyimi, "MyCatIsFromSpainAndICallHimElGato" gibi hatırlanması çok kolay olan neredeyse neredeyse tahmin edilemeyen bir dizedir. Ya da belki bir şiir ya da şarkıdan bir satır.

Eğer çatlamak gerçekten zor yapmak istiyorsanız .... dava ile karışıklık, bazı noktalama işaretleri ekleyin, bazılarını ells için değiştirin, ohs sıfırlar, a @ @, vb ... Ama hatırlanabilir tutmak ... Bu anahtar. Onları seçmenin bile yolları var, böylece parmaklarınızdan klavyeye kolayca akıyorlar ... böylece eller arasında veya SHIFT'lerle ve garip noktalama işaretleriyle zıplamıyorsunuz.

Yani...

• Uzun "geçiş ifadeleri" kullanın.
• Onları güç için dahili olarak test edin.
• Müşterilerin bunu günde bir veya iki kez kullanması için tüm altyapınızda "tek oturum açma" özelliğini kullanın.
• Asla onları değiştirmeye zorlamayın.
• Ve uygun kullanımı konusunda eğitin, eğitin, eğitin.

Mat

EDIT: 8/24/2011 XKCD kabul etti ve benden daha iyi söyledi.

Hayır. Benim kişisel görüşüm bunun gereksiz ve hatta karşı üretken olduğudur . Blogumda yer aldım, ancak ilgilenirseniz bunu avlayabilirsiniz.

Kısacası, bunun iki nedeni vardır:

1. Bir kullanıcıyı sürekli olarak parolasını değiştirmeye zorlamak kötü parolalara yol açar.

Bununla ilgili anekdot kanıt sıkıntısı olmayacak, ancak her x günde bir yeni bir şeyi hatırlamak zorunda kalırsam, bu şeyleri hatırlamayı kolaylaştıracağım ve muhtemelen birbiriyle ilişkili olacağım mantıklı.

Kullanıcıların yakında değişmesi gerektiğini bildikleri takdirde "Jan2010" veya "Password05" gibi "tahmin edilebilir" şifreleri seçme olasılığı daha yüksektir. Karakterler üzerinde katı bir politika uygulamak, sadece bir kısaltma yerine eklenmiş bir ünlem işareti veya tamamen hecelenmiş bir adla sonuçlanır. Teknik olarak karmaşık bir şifre ile tahmin edilemeyecek bir şifre arasında büyük bir fark vardır.

2. Düzenli şifre değişikliklerini zorlamak saldırıları engellemez, yalnızca riski azaltır (çok fazla değil)

Bir düşünün - şifreniz bir şekilde tahmin edilir veya keşfedilirse, saldırganın bu bilgileri kullanması ne kadar sürer? Kendinizi saldırganın yerine koyun. Bir şifre buldunuz. Birisi öğrenirse hemen giriş yapabilir ve her bilgi parçasını çıkarmaz mısınız? 30 gün içinde, istediğiniz her şeye zaten sahipsiniz.

Benim önerim:

• Son derece katı bir parola ilkesini zorunlu kılın (üst, alt, sayılar ve özel karakterler içeren 15 karakter ve İngilizce karakterleri> 3 karakter olmadan)
• Kullanıcıya asla şifresini değiştirmeyin. Eğer şifreyi bir kağıda yazmak ve cüzdanlarında tutmak zorundalarsa, bu gerçekten iyi. İnsanlar kağıt parçalarını koruma konusunda iyidir, ancak rastgele karakter dizilerini hatırlamakta o kadar iyi değildir.

Kullanıcının bakış açısından, şifremi değiştirmek zorunda kalmak inanılmaz derecede zahmetli. Bunu yapmaktan kesinlikle nefret ediyorum ve sadece şifremi değiştirmemi gerektiriyorsa kesinlikle ihtiyaç duyduğum siteleri kullanacağım .

Bunun gerçekten iyi bir uygulama olup olmadığı konusunda da bazı tartışmalar oldu, çünkü bazı insanlar hatırlamak için şifrelerini yazmak zorunda kalıyorlar.

İnsanlara parolalarını doldururken ne kadar güçlü (veya zayıf) olduğunu gösteren bu widget'lardan birini uygulayabilirsiniz - Bunları (sorta) yararlı buluyorum, ancak aslında daha güçlü sonuç verip vermediklerini bilmiyorum şifreler.

Oldukça katı bir şifre politikası ortamının ("parolaları tahmin etmek çok zor" ve parola değiştirmenin bir kullanıcı) olarak benim düşüncem sadece sabit parolaya ihtiyaç duyulmasıdır. Kullanıcılarınızın buna alışması biraz zaman alsa da (özellikle 12345 tür kullanıcısıysa) bir hafta içinde kolayca hatırlayabilmeli ve yazabilmelidir.

Ancak, bu kadar güçlü parolalarınız varsa ve onları değiştirmeye zorlarsanız rahatsız edici son kullanıcıları tahmin edebilirim.

BT yönetimi açısından en iyi seçeneğiniz, uygulamanızın müşterilerinizin kullandığı mevcut kimlik doğrulama düzeninin tek oturum açma özelliklerini kullanmasına izin verme olasılığını araştırmaktır. Açıkçası Active Directory büyük bir oynatıcıdır, ancak uygulamanız yerinde BT'nin zaten yapılandırmış olduğu politika ile çalışırsa , tekerleği yeniden keşfetme konusunda endişelenmenize gerek yoktur.

Zorunlu şifre değişikliklerinin iyi bir fikir olup olmadığı konusunda çok fazla tartışma ortaya çıktığı için (bunun ana sorunuzun ikincil olduğunu düşünüyorum), burada bazı fikirlerin ve bağlantıların tadını çıkarabileceğinizi düşündüm . Çoğu durumda, bir şifre karmaşıklığı ve değişim programı uygulanması gitmiyorsun, eğer siz de değil hiç şifreleriniz olabilir - ama yolu , uygulandığı (eğitim, yönetim desteği, vs) vurgulamak edebileceğinden çok daha önemlidir.

Parolaların sık sık değiştirilmesi kullanıcının parolalarını yazmasına neden olabilir. Bruce Schneier'e göre bu kötü bir fikir değil ( http://www.schneier.com/blog/archives/2005/06/write_down_your.html ).

Güvenliğin kullanılabilirliğin önüne geçmenin bazen iyi bir şey olabileceğini, hatta kullanıcıya güvenli bir şekilde hareket etmesini hatırlattığı için bile tartışabilirim. Örneğin, çalıştığım bankada, yürürlükteki güvenlik önlemlerinin çoğu güvenlik tiyatrosudur (örneğin kapıda yüz tanıma, ancak tanıma başarısız olursa güvenlik görevlisi sizin için kapıyı açacaktır). Bu önlemler güvenliği kendi başlarına iyileştirmezken, güvenliğin işyerinde önemli bir konser olduğunu, devam eden bir miktar kayıt ve kontrolün olduğunu ve yakalandığınızda "güvensiz" bir şey yaptığınızı hatırlatırlar. başı dertte olacak.

Tabii ki, bu bir banka çalışanlarının güvenliği için geçerlidir, web sitenizin kullanıcıları için geçerli olmayabilir ...

Güvenlik politikanız gerektiriyorsa, kullanıcılarınızı her n günde bir değiştirmeye zorlamalısınız. Bir Devlet dairesinde çalışıyorum ve bu Devlet Denetçisinin makamından zorunlu tutulan bir gereklilik. Bu konuda bir şey yapamam, bu yüzden değişiklikleri zorlamak zorundayım.

Parola değişikliklerini zorunlu kılmak için düzenlemelere bağlı değilseniz, bunları zorlamayın. Belirlenen parolaların belirli minimum karmaşıklık gereksinimlerini karşıladığından emin olun. Uzunluk, çoğu şifre sistemi için karmaşıklığı aşar, bu yüzden değişken bir standart bence en iyi durumdur. Gibi:

• Hiçbir şifre 10 karakterden az olamaz.
• 10-25 karakter arasındaki şifreler için en az 3 karakter seti gerekir.
• 25-40 karakter arasındaki şifreler için en az 2 karakter seti gerekir.
• 40 karakterden uzun şifreler tek bir karakter seti kullanabilir.

Active Directory gibi şeyler için yerleşik karmaşıklık şemaları bu tür katmanlı sistemi desteklemez. Kendi parola değiştirme ortamınızı oluşturursanız, bunun gibi şeyler yapabilirsiniz. Shift tuşunun her kullanımı, bir şişman parmak olayı olasılığını artırdığından, birden fazla karakter setine sahip uzun parolaların, özellikle öğrenme aşamalarında, başarısız oturum açma olaylarına neden olması ÇOK daha olasıdır. Bir hesap kilitleme sisteminiz varsa, bu büyük bir sorun olabilir. En sevdikleri şiirinin 3. satırını (63 karakter!) Kullanan kişi için, h @ x0r'ye girmek zorunda kalmamak, girişi hızlı ve verimli hale getirir.

Teknoloji veya risk ortamı önemli ölçüde değişiyorsa ve parolalarınız artık olması gerektiği kadar karmaşık değilse, parolaları belirli bir süre sona erecek şekilde yerleştirin. İnsanlar, özellikle daha önce hiç bir değişiklik yapmadıysanız, ancak güvenlik duruşunuzu korumanıza yardımcı olacaktır.

Tahmin edilmesi zor şifreler iyi bir şeydir. Kullanıcıların şifrelerini unutmaları veya yazmaları gerekliliği ile sonuçlanan karmaşıklık düzeylerini zorlamak kötü bir şeydir, çünkü karmaşıklıktan kazanılan güvenlik bu süreçte tamamen kaybolur. İdeal bir dünyada (maalesef yaşadığımız yer değildir) karmaşıklık ve kullanılabilirlik arasında bir denge dengesi olmalıdır. Elbette farklı insanlar bu denge noktasını farklı yerlerde görecekler.

X günde düzenli olarak değişen şifrelerin ardındaki mantık benim için biraz kayboluyor. Bunun için genellikle duymamın sebebi, çalınan bir parolanın yararlılığını sınırlamaktır; bu durumda, herhangi bir gerçek hasarın neredeyse ilk birkaç saat içinde neredeyse kesinlikle yapılacağına yanıt verdim. örneğin Fred "Mary'nin şifresi ile tanışır. Bu, Mary'nin şifreyi değiştirdiği ile aynı anda gerçekleşmedikçe, yarın veya gelecek ay değiştirilirse ne fark eder? Fred'in şifreyi kullanmadan önce bir iki hafta daha beklemesi muhtemel mi (baştan sona niyet olduğunu varsayarak)?

Açıkçası, gerekli olabilecek herhangi bir neden veya şüphe varsa şifreleri değiştirmek başka bir konudur.

Uygulama bu kadar yüksek bir güvenliğe ihtiyaç duyuyorsa, SecurID belirteçleri gibi bir şey kullanmayı düşündünüz mü? Bu, kullanıcının her 60 saniyede bir yeni bir şifre aldığı anlamına gelir; şifreleri yazarak bunları düşünmek zorunda değilsiniz. Ancak, bunların maliyeti vardır. Çözümün ne kadar güvenli olması gerekir?

Kullanıcılara bilginin önemli olduğunu düşünüyorum.Onlara nasıl bir şifre oluşturulacağını ve aynı şifreyi iki kez kullanmamanın ne kadar önemli olduğunu açıklayın. Parola oluşturmanın kolay bir yolu, bir cümle almak ve her kelimedeki ilk harfi almak ve bazı sayılar eklemektir.

Ör. Dünyaya hükmetmeyi seviyorum = Iltrw99

Sadece onları karıştırmak olacak onları şifre değiştirmek için zorlamayın.

Her üç ayda bir şifreleri değiştirmeyi kabul etmeme rağmen, şirketiniz halka açık bir şekilde alınıp satılıyorsa bu bir zorunluluktur ve SOX uyumlu olmanın bir parçasıdır. Yan not: Sarbanes-Oxley berbat.

Bahsetmediğim bir şey, kaynaklara dış erişimdir.

Makul bir şifre politikası seçerseniz, birisi yazmadıkça kimsenin bu şifreyi tahmin edemeyeceğini kabul ediyorum.

Ancak diyelim ki web postanız dışarıda erişilebilir durumdadır, artık potansiyel olarak kullanıcı bilgilerinizi casus yazılım / kötü amaçlı yazılım / truva atları vb. .

İnsanlar basit parolalar yazarsa, büyük bir parola veya çok karmaşık bir parola yazmayacaklarını düşünmenizi sağlar. Artımlı şifre değişikliklerinin gerçekleştirdiği şey, kullanıcı kimliğinin artık otomatik olarak kullanılmamasıdır ve bireysel kullanıcının tüm bunlarda bazı sorumluluklara sahip olmasına izin verir. İnsanlar bir şeyler yapmanın kolay yolunu arayan insanlar olacaklar; tekrarlanan şifreler ve aşamalı olarak değiştirilen şifreler tespit edilebilir ve reddedilebilir. Karmaşıklık gereklilikleri yerine getirilebilir, zorlanan parola değişiklikleri, BT dışı kullanıcıların gözlerini açarak bunların hepsinde sorumluluk sahibi olabilir. Parola değişikliğinden şikayet eden kullanıcıların çoğu, parola değiştirmeyi taklit eden tembel olanların açık kalp ameliyatı gibidir. Sızlanmayı durdurun, sorumlu olun ve kolay cadde bulmaya çalışın,