it-swarm-eu.dev

Wie erhöht eine Änderung Ihres Passworts alle 90 Tage die Sicherheit?

Wo ich arbeite, muss ich mein Passwort alle 90 Tage ändern. Diese Sicherheitsmaßnahme gibt es in vielen Organisationen, so lange ich mich erinnern kann. Gibt es eine bestimmte Sicherheitslücke oder einen bestimmten Sicherheitsangriff, dem dies entgegenwirken soll, oder befolgen wir nur das Verfahren, weil "es immer so gemacht wurde"?

Es scheint, als würde eine Änderung meines Passworts mich nur sicherer machen, wenn jemand bereits in meinem Konto ist.

Diese Frage war IT-Sicherheitsfrage der Woche.
Lesen Sie den 15. Juli 2011 Blogeintrag für weitere Details oder eigene einreichen Frage der Woche.

576
Bill the Lizard

Wenn Ihre Benutzer Menschen sind, erhöht dies nicht unbedingt die Sicherheit.
Siehe FTC post " Zeit zum Überdenken der obligatorischen Passwortänderungen " von Chief Technologist Lorrie Cranor, basierend auf Untersuchungen darüber, wie Menschen diese Systeme tatsächlich nutzen. (Berichterstattung der Washington Post hier .)

Wie im SANS-Sicherheitsblog erläutert, "besteht eine der wichtigsten Richtlinien für Verhaltensänderungen darin, sich auf die wenigsten Verhaltensweisen zu konzentrieren, die das größte Risiko angehen." Die Kosten für das Erfordernis der Kennwortänderungen werden besser dafür aufgewendet, den Benutzern die Verwendung sicherer, eindeutiger Kennwörter und/oder Kennwortmanager/Multifaktorauthentifizierung beizubringen. Darüber hinaus sind die Vorteile von Kennwortänderungen jetzt geringer geworden, da Angriffe viel schneller ausgeführt werden können und häufig auch als die langen, langsamen manuellen Angriffe, die durch Kennwortänderungen verhindert werden könnten.

4
WBT

Ich persönlich halte es nicht für eine gute Idee, das Ablaufen von Kennwörtern für Office-Benutzer (oder für Personen, die mit der Computernutzung kaum vertraut sind, geschweige denn für die Cybersicherheit) zu erzwingen, wie dies in vielen Organisationen der Fall ist. Wie oben erwähnt, besteht die größte Sicherheitslücke in diesem Fall darin, dass dieselben Bürobenutzer ihre Passwörter einfach auf Haftnotizen schreiben und sie auf ihren Bildschirmen einfügen oder in ihre Schreibtische stecken. Wenn die Person etwas "fortgeschrittener" ist, verwendet sie möglicherweise Kennwörter wie letmeinMONTHYEAR.

Trotzdem ist ein regelmäßiger Ablauf des Passworts eine gute Sache, sobald es mit der richtigen Passwortverwaltung gekoppelt ist. Offensichtlich können sich die meisten (nicht versierten) Personen keine wirklich sicheren Passwörter merken - so etwas wie v^i77u*UNoMTYPGAm$. Also was sollen wir tun?

Ich persönlich verwende einen Passwort-Manager, der alle meine Passwörter bis auf eines, das Hauptkennwort, verfolgt. Dies vereinfacht die Dinge wirklich und macht sie viel sicherer (vorausgesetzt, mein Hauptkennwort ist selbst sicher und ich kann es leicht wiedergeben, um mich beim Kennwortmanager anzumelden.) Es gibt mehrere kommerzielle Kennwortmanager, die Sie entdecken und testen können euch. Ich persönlich benutze Lastpass , das für den allgemeinen Gebrauch kostenlos und sicher ist. Es ist über den Webbrowser verfügbar und kann auch als App auf Ihrem Smartphone oder Tablet installiert werden. In Bezug auf Sicherheitsbedenken, dass eine Drittanbieterlösung alle Ihre Passwörter verwalten kann, verlasse ich mich auf die Überprüfung durch Steve Gibson. Sie können die Vollversion davon sehen hier .

4
MikeF

Wenn einigermaßen sichere Passwörter verwendet werden, ist dies nicht der Fall. Kennwörter müssen möglicherweise regelmäßig geändert werden, wenn sie möglicherweise offline geknackt werden können, wenn es einem Angreifer gelungen ist, Hashes aus der Datenbank zu extrahieren. Das Erzwingen von Kennwortänderungen scheint jedoch eine schwache Form der Sicherheit zu sein, wenn Benutzer aufgefordert werden sollten, sichere Kennwörter auszuwählen, beispielsweise basierend auf langen Passphrasen.

Ohne über die Kennwortsicherheit informiert zu sein, wählen die meisten Benutzer keine sicheren Kennwörter, sodass das 90-Tage-Änderungslimit zum Schutz dieser Konten dient. Da diese Benutzer die Sicherheit ihres Kontos nicht verstehen oder sich nicht darum kümmern, wählen sie wahrscheinlich ein anderes schwaches Passwort, das möglicherweise auf ihrem alten basiert (was bedeutet, dass ein Angreifer das alte knacken und dann Variationen davon bei einem Online-Angriff verwenden kann). . Die Verwendung der 90-Tage-Richtlinie in Kombination mit der Überprüfung der Ähnlichkeit des neuen Passworts mit dem alten kann als hilfreich angesehen werden. Die Passwörter anderer Benutzer sind schwieriger zu knacken. Wenn jedoch genügend Zeit von einem Angreifer bereitgestellt wird, ist dies durchaus möglich. Jedes Passwort mit einer Entropiestärke von weniger als 128 Bit bedeutet, dass es möglicherweise geknackt wird, es sei denn, es sei denn Ein Angreifer ist speziell an einem bestimmten Konto interessiert, dies hat eine sehr geringe Wahrscheinlichkeit des Auftretens.

Ein möglicherweise guter Grund für das Ändern von Kennwörtern ist, dass Benutzer Kennwörter häufig an unsicheren Orten speichern. Beispielsweise hat die Funktion zur automatischen Vervollständigung des Browsers möglicherweise das Kennwort auf dem Computer eines Freundes gespeichert. Dies ist jedoch weder hier noch da.

Aus diesem Grund wird es als gute Praxis angesehen, sie von Zeit zu Zeit zu ändern. Die 90 Tage sorgen für den kleinsten gemeinsamen Nenner. Benutzer, die sichere Kennwörter verwenden, die mit einem Kennwortgenerator generiert wurden, haben nur minimalen Aufwand, um ihre zu ändern, sodass diese Richtlinie keine wesentlichen Probleme verursachen sollte. Ich kann verstehen, dass Benutzer mit vielen Konten mit dieser Richtlinie verärgert sein werden.

Ein weiterer Grund für die häufige Änderung Ihres Kennworts ist, dass Kennwortspeicheralgorithmen wie bcrypt und andere Schlüsselableitungsfunktionen eine Iterationszahl aufweisen, die erhöht werden kann, um sie zu erhöhen Der Arbeitsfaktor als Moores Gesetz gilt. Durch Eingabe eines neuen Kennworts kann der Kennwort-Hash mit mehr Iterationen erneut gespeichert oder der gesamte Hashing-Algorithmus aktualisiert werden, wenn sich die Sicherheitslage des Systems erhöht. Wenn auf der Site beispielsweise ursprünglich Klartextkennwörter gespeichert, dann auf SHA-1, dann auf SHA-1 mit Salt migriert und schließlich verschlüsselt wurden, wird das Ändern des Kennworts häufig als Gelegenheit zum Aktualisieren des gespeicherten Formats für diesen Benutzer verwendet innerhalb der Datenbank.

Beachten Sie, dass eine Kennwortänderung technisch nicht erforderlich ist, nur dass viele Systeme das Kennwort zu diesem Zeitpunkt in den Speicher umschreiben. Dies kann jedoch auch bei erfolgreicher Anmeldung erfolgen, da das Klartextkennwort zu diesem Zeitpunkt ebenfalls verfügbar ist. Das Erzwingen einer Kennwortänderung hilft in diesen Fällen und hat auch den Vorteil, dass bei unentdeckten Sicherheitslücken durch Kennwortlecks auf der Site (z. B. SQL-Injection) das Kennwort in etwas Sichereres geändert wurde und das Hashing-Format vorliegt Aktualisiert. Beachten Sie, dass das Erzwingen einer Kennwortänderung nicht dazu beiträgt, inaktive Konten zu aktualisieren. Aus diesem Grund schreiben einige Standards vor, dass inaktive Konten nach einer bestimmten Zeit deaktiviert werden (z. B. PCI nach 90 Tagen) - wenn das Kennwort auch in einem bestimmten Format in der Datenbank gespeichert ist Es wird auch empfohlen, dies auszublenden, falls der Benutzer es an anderer Stelle wiederverwendet hat und es später durchgesickert ist.

3
SilverlightFox

Ich würde eher zustimmen, dass dies in erster Linie eine Compliance-gesteuerte Anforderung mit bestenfalls einer geringfügigen Nettoerhöhung der Sicherheit ist (leider mit erheblichen Kosten für den Verlust der Betriebsverfügbarkeit, da ansonsten legitime Benutzer nach 90 Tagen Maschine gesperrt werden) - Die Kommunikation zwischen Maschine schlägt fehl, weil die Kennwörter abgelaufen sind und niemand sie aktualisiert hat. Rufen Sie den Helpdesk an, um Probleme beim Zurücksetzen des Kennworts zu beheben.

Abgesehen davon gibt es triftige Gründe für die Durchsetzung einer solchen Richtlinie (obwohl - diese Rechtfertigungen durch die relativ lange Gültigkeitsdauer für ein bestimmtes Passwort erheblich verringert werden ... schließlich, wenn ein Cyber-Gauner Ihr Passwort für 90 Tage erhält, Es gibt eine Menge Schaden, den er oder sie anrichten kann.

Der größte Vorteil ergibt sich aus folgendem Szenario:

  1. Sie werden gehackt oder auf andere Weise kompromittiert, und der Cyber-Gauner findet Ihren Benutzernamen und Ihr Passwort heraus.

  2. Es befindet sich in der Nähe des Zeitraums "Änderungsschwelle" (normalerweise - Ende des Quartals, und glauben Sie nicht, dass Cyber-Gauner das nicht wissen).

  3. Sie müssen Ihr "altes" Passwort ändern (das sowohl Sie als auch der Cyber-Gauner kennen).

  4. Sie befolgen die Unternehmensrichtlinien und ändern Ihr Passwort. Dies bedeutet, dass der Cyber-Gauner jetzt wieder gesperrt ist. Er oder sie kann versuchen, die gleichen Methoden wie zuvor zu verwenden, um auch unbefugten Zugriff auf diese Anmeldeinformationen zu erhalten. Dies kann jedoch ärgerlich und zeitaufwändig sein.

Der Punkt hier ist, "das Passwort in etwas Neues zu ändern", ist etwas, was ein Cyberkrimineller normalerweise nicht tun wird, weil aus seiner Sicht (es sei denn natürlich, das Passwort Hijack ist wirklich eine Art Verweigerung). of-Service-Angriff), das Ändern des Passworts und das Sperren des legitimen (ursprünglichen) Besitzers aus dem Konto, macht den legitimen Benutzer sofort darauf aufmerksam, dass etwas Unangenehmes passiert.

Dies kommt zu der Tatsache hinzu, dass Cyberkriminelle normalerweise Tausende von Passwörtern gleichzeitig entführen. Das Ändern all dieser Funktionen kann eine schwierige Aufgabe sein, insbesondere weil sie möglicherweise keinen Zugriff auf die Back-End-Systeme haben, die so eingerichtet sind, dass legitime Benutzer dies tun können.

Keiner der oben genannten Punkte wird ohne Berücksichtigung der Tatsache geschrieben, dass Cyber-Gauner normalerweise ein eigenes, privilegiertes Konto einrichten, sobald sie unbefugten Zugriff auf Ihr System erhalten, oder die anderen potenziellen Schwachstellen in den "obligatorischen 90 Tagen" ignorieren sollen Passwortwechsel "Paradigma, das heutzutage so weit verbreitet ist. Stellen Sie sich diese Regel als ein (kleines) Element in Ihrer mehrschichtigen Verteidigungsstrategie vor, und Sie werden sehen, dass sie einen Platz hat ... aber es ist sicherlich nichts, worauf Sie sich verlassen sollten, um die Bösen fernzuhalten.

3
user53510