Bir tedarikçiden, altı ayda bir şifremizi değiştirmemize zorlayacaklarını bildiren bir e-posta aldıktan sonra, insanların hangi şifre sona erme politikalarını kullandığını ve neden kullandıklarını merak ediyorum.
Yanıtlar:
Burada asla değiştirmemek ve çok sık değiştirmek arasında ince bir çizgi var. Yıllarca aynı şifreleri kullanmak, özellikle herkese açıksa, genellikle iyi bir çözüm değildir. Ancak katı bir politikayı çok sık değiştirmenin zorlanması da kötü yan etkilere sahiptir. Çalıştığım bir yer, iç ağdaki tüm kullanıcıları her 6. haftada bir şifre değiştirmeye zorladı ve passowrd önceki altı şifre ile aynı olamazdı. Üç yanlış şifre iş istasyonunu kilitledi ve BT personeli bunu açmak zorunda kaldı. Bu, herkesin ekranda asılı veya çekmecelerine yerleştirilen Post-It notlarına şifre yazmasına neden oldu. Kâbus.
6 ayda bir şifreyi değiştirmek yeterli olmalı diyebilirim. Bu, korkulan Post-It notlarını önleyecektir.
Minimum parola karmaşıklığınızı, bir saldırganın parolaları ne kadar hızlı tahmin edebileceğini, sahip olduğunuz hesapların sayısını ve risklerinizle ilgili bazı bilgileri dikkate alan biraz matematik kullanmanızı öneririm.
Umarım şifre tahmin etmek için bir tür hız sınırlaması vardır. Genellikle bu, bazı kötü parolalardan sonra geçici olarak hesapları kilitleyen bir şey yoluyla olur.
Ve umarım bir çeşit şifre karmaşıklığı gereksiniminiz vardır, böylece "A" ve "şifre" ye izin verilmez.
Diyelim ki 10 dakikada 30 şifre başarısızlığından sonra bir hesabı 20 dakika boyunca kilitleyeceksiniz. Bu, şifre tahmin oranını saatte 174 veya günde 4176 ile etkili bir şekilde sınırlar. Ancak bunun kullanıcı başına olduğunu varsayalım.
Üst, alt ve bir sayı içeren 8'den fazla karakter parolasına ihtiyacınız olduğunu ve bu parolaların makul derecede rasgele olmasını sağlamak için bazı sözlük denetimleri yaptığınızı varsayalım. En kötü durumda, kullanıcılarınız bir üst ve bir sayıyı aynı yere koyar ve saldırganınız bunu bilir, böylece 10 * 26 ^ 7 (80G) olası şifreniz olur. En iyi durum 62 ^ 8'dir (218T).
Bu nedenle, olası her şifreyi deneyen bir saldırgan, en kötü durumda 50.000 yıl içinde ve en iyi durumda neredeyse 600 milyon milenyumda hepsini vuracaktı. Ya da başka bir deyişle, bir yıl 50.000'de 1 ile 52.000.000.000 arasında 1 tahmin yapacaklardı. 50.000 kullanıcı tabanına sahipseniz, en kötü durumda yılda bir hesaba girecekleri ve kabaca her 6 ayda bir hesap kazanma şanslarının% 50 olacağı neredeyse garantidir.
Ve eğer hız sınırlamanız yoksa ve bir saldırgan günde bir milyar parola tahmin edebilseydi? Bir yılda 600 hesaba katılma şansı veya her yıl 50.000 kullanıcınızdan yaklaşık 80'ini almanın sanal garantisi.
Bu matematik üzerinde çalışın ve kabul edilebilir risk seviyenizin nerede olduğunu bulun. Ve ne kadar kısa ayarlarsanız, kullanıcıların hatırlaması o kadar zor olur ve site saldırganı için uygun bir yere yazmaları daha olasıdır.
Ek bir avantaj olarak: Birisi sistemleriniz için kullanıcı başına günde binlerce şifre deniyorsa, umarım bunu alacak bir çeşit izlemeniz olur.
DÜZENLEME: Bahsetmeyi unuttum: gerçek politikamız 90 gündür, ancak bunun yanlış yönlendirilmiş güvenlik denetçileri tarafından elde edilen bulgularla ve gerçekle hiçbir ilgisi yoktur.
Çoğu senaryo için 90 gün yeterli görünüyor. En büyük endişem parola karmaşıklığı. Post-it notların üretilmesinde zaman çerçevesi sorunu zorlayıcı karmaşıklıktır. Sözlük kelimelerinden kaçınmak ve özel karakterlere sahip olmaktan başka bir şeydir, ancak hiçbir karakterin tekrarlanamayacağını veya artan / azalan düzende olamayacağını söylemeye başladığınızda, kullanıcılarınızı zorlaştırdınız. Bunu kısa bir şifre ömrüne ekleyin ve daha fazla sayıda sorunla karşılandınız.
Parolanın süresinin dolması can sıkıcıdır ve güvenliği azaltır.
Parola süresinin sona ermesi, bir saldırganın zaten bir kez kullanıcının parolasını tehlikeye attığı, ancak sürekli olarak ne olduğunu bulma mekanizmasına sahip olmadığı duruma (örneğin keylogger) karşı savunur.
Bununla birlikte, şifreleri hatırlamayı zorlaştırır ve kullanıcıların şifreleri yazma olasılığını artırır.
Zaten güvenliği ihlal edilmiş bir parolaya karşı savunmak gerçekten gerekli olmadığından (umarız), parola geçerliliğinin sona ermesini işe yaramaz buluyorum.
Kullanıcılardan başlamak için güçlü bir şifre seçmelerini sağlayın; onları hatırlamalarını teşvik edin, daha sonra değiştirmelerini gerektirmeyin, yoksa onları her yere yazacaklardır.
"Yüksek ila ultra yüksek" güvenlik garantilerine ihtiyaç duyan bir cihazınız varsa, parola kullanım sürelerinin dolmasına güvenmek yerine bir defalık şifreler üreten bir donanım belirteci kullanmaktan daha iyidir.
Bir parola geçerlilik süresi sistemi için ana "kazanma", hesap sahibi kuruluştan ayrılırsa bir hesabın devre dışı bırakılacağı, hesap sahibine ek bir "kontrol et ve bakiye" olarak hesabınızın devre dışı bırakılması gerektiğidir yapraklar".
Parola süresinin sona ermesi, en iyi şekilde, yüksek kaliteli parolalara ve en kötü durumda kötü parolalara yol açar (önceki bir işyerinde, parola geçerliliğini kullanmak zorunda kaldığımızda, (esasen) prefixJan2003, prefixFeb2003 vb. üzerinde, tercih edilen şifre oluşturma yöntemim (48 rastgele bit, Base64 kodlu) "her ay yeni şifreler" ile ölçeklenmiyor).
Bu soruyu 10 farklı güvenlik uzmanına sorarsanız, 10 farklı cevap alırsınız.
Bu, parolanın ne kadar kritik bir şekilde korunduğuna bağlıdır.
Çok güvenli bir öğeye sahipseniz, parola süre sonu politikanızı yeterince kısa bir şekilde ayarlamanız gerekir, böylece dışarıdaki davetsiz misafirlerin bir parolayı kaba zorlamak için zamanları olmaz. Bu durumda başka bir değişken, parolalarda hangi karmaşıklık düzeyinin gerekli olduğudur.
Düşük ve orta güvenlikli sistemler için, 6 aylık bir sona erme politikasının çok adil olduğunu düşünüyorum.
Üst düzey güvenlik için bir ayın daha iyi olacağını düşünüyorum - ve 'ultra' güvenli kurulumlar için daha kısa süreler beklenebilir.
Buradaki herkes için (kendimiz dahil) 90 günlük bir şifre geçerlilik süresi uygularız.
Çoğunlukla en iyi uygulama olduğu için. "Daha zayıf" bir parola kullanan, daha güçlü bir parola kullanan birinin şansı daha büyüktür ve parolayı ne kadar uzun süre bırakırsanız, muhtemelen uzun vadeli, tespit edilmemiş bir güvenlik ihlaline neden olur.
Parolaları her yıl sona erer ve 10 karakterden uzun güçlü (tercihen rastgele) parolalar isteriz. Kişilerin parolalarını değiştirdiklerinde sözlük saldırıları gerçekleştiriyoruz. Parolaların yeniden kullanılmaması için parola karmaları geçmişte kalır. Biz de vatine dedi gibi şifrede potansiyel tarihleri kontrol edin. ;) Son eklediğim oldu ...
Eski bir işte, yeni bir ağ güvenliği yöneticisinin isteğiyle (her iki ayda bir) daha sık kullanım süresinin dolmasını denedik. İlk zorunlu değişiklikten iki hafta sonra, onu idari ofislerimizin etrafına götürdüm ve insanların klavyelerinin ve fare altlıklarının altına baktık. % 50'den fazlasının altında bir yazı yazmıştı. Oturduktan ve idari personelle konuştuktan sonra politikayı gevşetmekten mutlu oldu - onların görüşü ezberlemek için yeterince uzun sürmedikleriydi.
Bu günlerde yaptığımız şeylerin çoğu birkaç silo içinde tek oturum açma. Kampüs kaynakları (çoğu insan için nadiren kullanılır) tek bir siloda bulunur ve bu şifre merkezi BT grubumuz tarafından yönetilir. Departman kaynakları (günlük olarak kullanılır - makine girişi, e-posta, web sitesi düzenleme, fotokopi makinesi) grubumuz tarafından yönetilen ve her yıl süresi dolan bir şifredir. Eğer insanlar hayal kırıklığına uğrarlarsa, hatırlamaları gereken tek bir şifre olduğunu belirtiriz.
Bu günlerde, / var / log içindeki rastgele bir dosyada bir md5sum üretiyorum ve şifrelerim için bunun bir alt kümesini kullanıyorum.
Birkaç yıl önce bir şifre geçerlilik süresi politikası başlattığımızda bununla ilgili birçok tartışma yaptık . Biz sadece ne kadar kötü olduğunu görmek için AD ağaç karşı gökkuşağı tabloları ile çalıştırmak bir l0phcract bitirmişti ve oldukça korkunçtu. Göze çarpan bir kullanıcı, şifre sıfırlama için arama yaptıktan / bıraktıktan sonra "yardım masası temp" şifresini hala kullanıyor,% 30 gibi korkunç bir şey "şifre" veya şifre olarak bazı değişkenler kullanıyordu (p @ $$ w0rd, vb.) . Bu, yönetimin bunun olması gerektiğine ikna etti .
Daha yüksek ed olarak, bir aralık seçerken uğraşacak yazımız vardı. Fakültemizin çoğu yaz boyunca ders vermiyor, bu yüzden yardım masamız Eylül ayında geri döndüklerinde "Şifremi unuttum" çağrıları için destek almak zorunda kaldı. Sanırım ve yanlış olabilirim ki, aramız yaz mevsiminin dışında 6 aydır. Bu nedenle, 6mo parolanızın sona erme tarihi Ağustos ortalarında sona eriyorsa, Eylül ayı sonundan Ekim ayı başına sıfırlamak için rastgele yeniden programlanır.
Daha iyi bir soru, yardımcı program hesabınızın ve yönetici şifrelerinizin ne sıklıkta döndürüldüğü. Çoğu zaman bunlar şifre değiştirme politikalarından muaf tutuluyor gibi görünüyor. Kim bir yardımcı hesap şifre değişikliği için tüm bu komut dosyalarını gözden geçirmek istiyor? Bazı yedekleme sistemleri, kullanılan şifreleri değiştirmeyi zorlaştırır, bu da yönetici şifrelerini değiştirmek için caydırıcıdır.
Parolanın geçerliliğinin sona ermesiyle ilgili önemli bir sorun, insanların bunları hatırlamakta zorlanmalarıdır, bu nedenle zayıf veya benzer şifreler kullanan kişilere sahip olursunuz veya politikanız buna izin vermezse, hatırlamaya yardımcı olmak için şifreleri yazmaya başlarlar. . Ayrıca, kullanıcılar bunları unuttuğunda daha fazla şifre değişikliği isteğiniz olur.
Kişisel olarak, şifrenin ne için kullanıldığına bağlıdır, ancak tam bir para yatırma hesabı olmadıkça şifreyi 3 aydan fazla tutmama eğilimindeyim. Daha yüksek riskli şeyler için, her ay iyidir ve bilen bir başkası ayrılırsa meydan okurcasına değiştirir. Küçük bir bilgisayar destek işinde çalıştığım için, birçok kişi arasında paylaşılan birden çok şifremiz var, bu yüzden neden olabileceği bozulma nedeniyle bunları çok sık değiştirmek istemiyoruz.
Şimdiye kadar ilginç yorumlar. Tabii ki neden parolaları hatırlamanın bir şirketteki teknik ve teknik olmayan personel sorunu olduğu her zaman tartışılıyor? Birinin bilgisayar donanımı / yazılımı ile olan yeteneğinin güvenliği ciddiye alma yeteneği ile ilgisi nedir? Teknik olmayan bir kişi Kredi Kartı veya Banka Kartı Pinlerini # verecek mi? Ayrıca, masalarındaki post-it notlarına şifre koyan kişiler işten çıkarılma gerekçeleri olmalıdır. İnsanların hafızasının güvenliği gerçekten fark ettiğinde nasıl gelişeceği şaşırtıcı ve ciddiye alınması gerekiyor. Kıyafet kurallarının rolünün ve işyerinde politikaların yürütülmesinin farklı olmadığını görüyorum. Kurallara uyun ya da güle güle!
Daha güvenli bir parolaya sahip olmanın , sık sık değiştirmekten çok daha önemli olduğunu düşünüyorum, ancak her ikisi de güvenli bir sistem için kesinlikle gereklidir.
Tartışma karmaşık şifrelerin hatırlanması zor ve çalışanların bunları yazmasına yol açıyor. Buna inancım , saldırıların büyük çoğunluğunun dışarıdan gelmesi ve hatta karmaşık bir parolanın yazılması ve monitörünüze kaydedilmesinin, basit bir parolayı ezberlemekten daha güvenli olmasıdır.
Bir kerelik pad ve time-token tabanlı kimlik doğrulama uyguluyorum, bu yüzden teorik olarak kullanıcı her giriş yaptığında.
Bu tartışmasız konu dışı olmasına rağmen, bir kerelik bir ped üstün bir çözüm gibi görünüyor.
Benzer şekilde ve daha temel olarak, kullanıcının güçlü bir şifre oluşturmasını ve güvenlik politikanızın arkasındaki ahlakı anlamasını sağlamak (not yazmayın, doğum gününüz yapma, kimseye vermeyin) çok fazla gidecek onları her nci zaman aralığına bir değiştirmeye zorlamaktan daha uzak.