it-swarm-eu.dev

Jak může změna hesla každých 90 dní zvýšit bezpečnost?

Kde pracuji, jsem nucen změnit své heslo každých 90 dní. Toto bezpečnostní opatření existuje v mnoha organizacích tak dlouho, jak si pamatuji. Existuje konkrétní chyba zabezpečení nebo útok, proti kterému je navrženo tak, aby čelili, nebo postupujeme pouze podle postupu, protože „je to způsob, jakým se to vždycky dělo“?

Vypadá to, že změna mého hesla by mě zvýšila, kdyby někdo byl již v mém účtu.

Tato otázka byla IT bezpečnostní otázka týdne.
Přečtěte si 15. července 2011 položka blog pro více informací nebo zadejte svůj vlastní Otázka týdne.

576
Bill the Lizard

Pokud jsou vašimi uživateli lidé, nemusí to nutně zvýšit bezpečnost.
Podívejte se na FTC příspěvek " Čas na přehodnocení povinných změn hesla " vedoucí technologie Lorrie Cranor, založená na výzkumu toho, jak lidé tyto systémy skutečně používají. (Pokrytí Washington Post zde .)

Jak je také uvedeno v blog zabezpečení SANS , „Jedním z klíčových pokynů pro změnu chování je zaměřit se na nejmenší chování, která řeší největší riziko.“ Náklady na vyžadování změn hesla jsou lépe vynaloženy na výuku uživatelů, aby používali silná, jedinečná hesla a/nebo správci hesel/multifaktorové ověřování. Výhody změn hesla navíc nyní klesají, protože útoky se mohou a často dějí mnohem rychleji než dlouhé, pomalé, manuální útoky, které mohou změny hesla pomoci odříznout.

4
WBT

Osobně si nemyslím, že vynucení vypršení platnosti hesla u uživatelů v kancelářích (nebo lidé, kteří jsou s používáním počítače jen stěží obeznámeni, natož kybernetická bezpečnost), je ve formě dobrým nápadem, jak se to děje v mnoha organizacích. Jak bylo uvedeno výše, hlavní bezpečnostní chybou v tomto případě je to, že ti samí uživatelé v kanceláři jednoduše zapisují svá hesla do poznámek a vloží je na své obrazovky nebo je vloží do svých stolů. Nebo, pokud je osoba o něco více „pokročilá“, může začít používat hesla, jako například letmeinMONTHYEAR.

Pravidelná expirace hesla je nicméně dobrá, jakmile je spojena se správou správy hesel. Je zřejmé, že většina (neuložených) lidí si nebude moci pamatovat opravdu zabezpečená hesla - něco jako v^i77u*UNoMTYPGAm$. Co tedy budeme dělat?

Osobně používám správce hesel, který sleduje všechna moje hesla, kromě jednoho, hlavního hesla. To opravdu zjednodušuje věci a zvyšuje jejich bezpečnost (za předpokladu, že mé hlavní heslo je samo o sobě bezpečné a mohu jej snadno přepočítat, abych se mohl přihlásit do správce hesel.) Existuje několik komerčních správců hesel, které vám dovolím objevit a vyzkoušet sami. Já osobně používám Lastpass , který je zdarma pro všeobecné použití a je bezpečný. Je k dispozici prostřednictvím webového prohlížeče a lze jej také nainstalovat jako aplikaci do smartphonu nebo tabletu. Pokud jde o bezpečnostní obavy týkající se toho, že řešení třetích stran budou moci spravovat všechna vaše hesla, spoléhám na prověření provedené Steve Gibsonem. Můžete sledovat jeho plnou verzi zde .

4
MikeF

Pokud se používají přiměřeně silná hesla, není. Hesla bude možná třeba pravidelně měnit, pokud mohou být nakonec prasklá offline, pokud se útočníkovi podařilo extrahovat hash z databáze. Vynucení změn hesla se však zdá být slabou formou zabezpečení, když by uživatelé měli být vybízeni k výběru silných hesel, například na základě dlouhých přístupových frází.

Aniž by byli poučeni o zabezpečení heslem, většina uživatelů si nevybere silná hesla, takže limit změny 90 dnů je určen k ochraně těchto účtů. Protože tito uživatelé nerozumí zabezpečení svého účtu ani se o něj nestarají, pravděpodobně si vyberou jiné slabé heslo, pravděpodobně na základě svého starého (což znamená, že útočník může staré crackovat a poté použít jeho varianty v online útoku) . Za pomoc lze považovat použití 90denní zásady v kombinaci s kontrolou podobnosti nového hesla se starým heslem. Hesla ostatních uživatelů bude obtížnější crackovat, i když útočník věnuje dostatek času, je to zcela možné - jakékoli heslo o síle pod 128 bitů entropie znamená, že má nakonec možnost jej popraskat, i když útočník se konkrétně zajímá o konkrétní účet, má velmi nízkou pravděpodobnost výskytu.

Možná dobrým důvodem pro změnu hesel je, že uživatelé často ukládají hesla na nejistých místech. Například funkce automatického doplňování prohlížeče si možná pamatovala heslo v počítači přítele. To však není ani zde, ani zde.

To je důvod, proč je považováno za osvědčený postup je měnit tak často. 90 dnů obstarává nejnižší společný jmenovatel. Každý uživatel používající silná hesla generovaná pomocí generátoru hesel bude mít minimální potíže, aby je pak mohl změnit, takže tato zásada by neměla způsobit závažné problémy. Dokážu pochopit, uživatelé s mnoha účty s touto zásadou bude naštvaný.

Dalším důvodem pro změnu hesla je často to, že algoritmy pro ukládání hesel, jako je bcrypt a další funkce odvození klíčů, mají počet iterací, které lze zvýšit, aby se zvýšil pracovní faktor jako Mooreův zákon se zmocní. Zadání nového hesla dává příležitost, aby se hash hesla obnovil s více iteracemi, nebo aby se celý hashovací algoritmus aktualizoval se zvyšujícím se stavem zabezpečení systému. Například, pokud web původně ukládal hesla s čistým textem, poté migroval na SHA-1, poté na SHA-1 se solí, pak na bcrypt, akt změny hesla se často používá jako příležitost k aktualizaci uloženého formátu pro tohoto uživatele. v databázi.

Mějte na paměti, že změna hesla není technicky nutná, pouze že mnoho systémů přepíše heslo do úložiště v tomto okamžiku, ale mohly by to udělat i při úspěšném přihlášení, protože heslo pro jasný text bude také k dispozici v tomto bodě. Vynucení změny hesla pomůže v těchto případech a má také tu výhodu, že pokud by na webu byly nějaké neobjevené chyby zabezpečení heslem (např. Injekce SQL), heslo by bylo změněno na něco bezpečnějšího a formát hashování bude aktualizováno. Upozorňujeme, že vynucení změny hesla nepomůže aktualizovat neaktivní účty, proto některé standardy diktují, že neaktivní účty jsou deaktivovány po určité době (např. PCI po 90 dnech) - pokud je heslo také uloženo v nějakém formátu v DB, Doporučujeme také toto pole vyprázdnit v případě, že jej uživatel znovu použil jinde a je později únikem.

3
SilverlightFox

Chtěl bych souhlasit s tím, že se jedná především o požadavek na dodržování předpisů a přinejlepším o marginální čisté zvýšení bezpečnosti (bohužel značné náklady na ztrátu provozní dostupnosti, protože jinak legitimní uživatelé jsou po 90 dnech uzamčeni) - selhání komunikace se strojem, protože platnost jejich hesel vypršela a nikdo je neaktualizoval, zavolá na linku technické podpory a vyřeší problémy s obnovením hesla atd.).

Jak již bylo řečeno, existují platné důvody k prosazení takové politiky (i když - tato odůvodnění jsou značně snížena o relativně dlouhou dobu platnosti konkrétního hesla ... konec konců, pokud kybernetický podvodník získá heslo po dobu 90 dnů, může způsobit spoustu škod).

Největší výhodou je následující scénář:

  1. Jste hacknuti nebo jinak ohroženi a počítačový podvodník zjistí vaše uživatelské jméno a heslo.

  2. Stává se, že se blíží časovému období „změna prahu“ (obvykle - na konci čtvrtletí a nemyslí si, že to kybernetičtí podvodníci nevědí).

  3. Jste povinni změnit své „staré“ heslo (které znáte vy i počítačový podvodník).

  4. Řídíte se zásadami společnosti a měníte své heslo, což znamená, že počítačový podvodník je nyní opět uzamčen. Může se pokusit použít stejné metody jako dříve, aby získal také neoprávněný přístup k tomuto pověření ... ale může to být nepříjemné a časově náročné.

Jde o to, že „změna něčího hesla na něco nového“ není něco, co by kybernetický zločinec obvykle udělal, protože z jeho pohledu (pokud ovšem heslo Hijack samozřejmě není druhem odmítnutí - útoku ze služby), změna hesla a uzamčení legitimního (původního) majitele z účtu, okamžitě upozorní oprávněného uživatele, že se něco děje.

To je navíc k tomu, že kybernetičtí zločinci obvykle unášejí tisíce hesel najednou; změna všech těchto, zejména proto, že nemusí mít přístup k back-end systémům nastaveným tak, aby to legitimní uživatelé mohli dělat, může být obtížným úkolem.

Nic z výše uvedeného není psáno ignorováním skutečnosti, že kybernetičtí podvodníci si obvykle vytvoří svůj vlastní privilegovaný účet ve chvíli, kdy získají neoprávněný přístup k vašemu systému, nebo mají ignorovat další potenciální slabiny v „povinném 90denním“ heslo změnit "paradigma, která je v těchto dnech tak rozšířená. Představte si toto pravidlo jako jeden (menší) prvek ve vaší vrstvené obranné strategii a uvidíte, že má své místo ... ale rozhodně to není něco, na co byste se měli spolehnout, abyste zabránili padouchům.

3
user53510