it-swarm-eu.dev

In che modo la modifica della password ogni 90 giorni aumenta la sicurezza?

Dove lavoro sono costretto a cambiare la mia password ogni 90 giorni. Questa misura di sicurezza è stata messa in atto in molte organizzazioni da quando posso ricordare. Esiste una specifica vulnerabilità o attacco alla sicurezza che questo è progettato per contrastare o stiamo semplicemente seguendo la procedura perché "è il modo in cui è sempre stato fatto"?

Sembra che cambiare la mia password mi renderebbe più sicuro solo se qualcuno è già nel mio account.

Questa domanda era Domanda sulla sicurezza IT della settimana.
Leggi il 15 luglio 2011 post di blog per maggiori dettagli o invia il tuo Domanda della settimana.

576
Bill the Lizard

Quando i tuoi utenti sono umani, non aumenta necessariamente la sicurezza.
Vedi FTC post " Tempo di ripensare le modifiche obbligatorie della password " del capo tecnologo Lorrie Cranor, basato sulla ricerca su come gli umani effettivamente usano questi sistemi (copertura del Washington Post qui .)

Inoltre, come discusso nel blog sulla sicurezza SANS , "Una delle linee guida chiave per cambiare comportamento è [concentrarsi] sul minor numero di comportamenti che affrontano il rischio maggiore". I costi per richiedere la modifica della password vengono spesi meglio per insegnare agli utenti l'uso di password complesse e/o autenticazione password/gestori multifattore. Inoltre, i vantaggi delle modifiche alla password sono diminuiti ora che gli attacchi possono e spesso si verificano molto più rapidamente rispetto agli attacchi lunghi, lenti e manuali che le modifiche alla password potrebbero aiutare a eliminare.

4
WBT

Personalmente non penso che applicare la scadenza della password agli utenti dell'ufficio (o, persone che non hanno familiarità con l'uso del computer, per non parlare della sicurezza informatica) sia una buona idea nella forma come avviene in molte organizzazioni. Come è stato notato sopra, il principale difetto di sicurezza in questo caso è che quegli stessi utenti dell'ufficio scrivono semplicemente le loro password su foglietti adesivi e li incollano sui loro schermi o li attaccano alle loro scrivanie. Oppure, se la persona è leggermente più "avanzata", potrebbe iniziare a utilizzare password come letmeinMONTHYEAR.

Tuttavia, la scadenza periodica della password è una buona cosa, una volta associata alla corretta gestione della password. Ovviamente la maggior parte delle persone (non esperte) non sarà in grado di ricordare password veramente sicure - qualcosa come v^i77u*UNoMTYPGAm$. Quindi cosa dovremmo fare?

Personalmente uso un gestore di password che tiene traccia di tutte le mie password, tranne una, la password principale. Questo semplifica davvero le cose e le rende molto più sicure (a condizione che la mia password principale sia sicura e posso facilmente raccontarla per accedere al gestore password.) Esistono diversi gestori password commerciali, che ti permetterò di scoprire e testare voi stessi. Personalmente uso Lastpass che è gratuito per uso generale ed è sicuro. È disponibile tramite il browser Web e può essere installato anche come app sul tuo smartphone o tablet. Per quanto riguarda i problemi di sicurezza di consentire a una soluzione di terze parti di gestire tutte le tue password, mi affido al controllo effettuato da Steve Gibson. Puoi guardarne la versione completa qui .

4
MikeF

Se vengono utilizzate password ragionevolmente forti, non lo è. Le password potrebbero dover essere cambiate regolarmente se alla fine possono essere decifrate offline se un attaccante è riuscito a estrarre hash dal database. Tuttavia, l'applicazione delle modifiche alle password sembra una forma debole di sicurezza quando gli utenti dovrebbero essere incoraggiati a selezionare password complesse, ad esempio basate su passphrase lunghe.

Senza essere istruiti sulla sicurezza delle password, la maggior parte degli utenti non sceglierà password complesse, quindi il limite di modifica di 90 giorni è progettato per proteggere questi account. Dato che questi utenti non comprendono o si preoccupano della sicurezza del proprio account, è probabile che scelgano un'altra password debole possibilmente in base alla loro vecchia (il che significa che un utente malintenzionato può decifrare la vecchia e quindi utilizzare varianti di quella in un attacco online) . L'uso della politica di 90 giorni in combinazione con la verifica della somiglianza della nuova password con quella precedente può essere considerato utile. Le password di altri utenti saranno più difficili da decifrare, anche se se un utente malintenzionato dedica abbastanza tempo a ciò è del tutto possibile - qualsiasi password con una forza inferiore a 128 bit di entropia significa che ha la possibilità che alla fine venga violata, anche se a meno che un utente malintenzionato è specificamente interessato a un determinato account, ciò ha una probabilità molto bassa di verificarsi.

Un buon motivo per cambiare le password è che gli utenti spesso salvano le password in luoghi non sicuri. Ad esempio, la funzionalità di completamento automatico del browser potrebbe aver ricordato la password sul computer di un amico. Tuttavia, questo non è né qui né lì.

Questo è il motivo per cui è visto come una buona pratica cambiarli ogni tanto. I 90 giorni si rivolgono al minimo comune denominatore. Tutti gli utenti che utilizzano password complesse generate utilizzando un generatore di password avranno una seccatura minima per poter quindi modificare le proprie, pertanto questa politica non dovrebbe causare problemi significativi. Posso capire che gli utenti con molti account con questa politica saranno infastiditi.

Un ulteriore motivo per cambiare spesso la password è che gli algoritmi di memorizzazione della password come bcrypt e altre funzioni di derivazione chiave hanno un conteggio di iterazioni, che possono essere aumentati per aumentare il fattore di lavoro come Legge di Moore prende piede. L'immissione di una nuova password offre l'opportunità di salvare l'hash della password con più iterazioni o di aggiornare l'intero algoritmo di hash man mano che aumenta la postura di sicurezza del sistema. Ad esempio, se il sito originariamente memorizzava password in chiaro, quindi migrava su SHA-1, quindi SHA-1 con salt, quindi alla fine bcrypt, l'atto di cambiare la password spesso viene usato come opportunità per aggiornare il formato memorizzato per questo utente all'interno del database.

Si noti che una modifica della password non è tecnicamente richiesta, solo che molti sistemi riscriveranno la password per l'archiviazione a questo punto, tuttavia potrebbero anche farlo dopo un accesso riuscito perché la password in chiaro sarà anche disponibile a questo punto. Forzare una modifica della password aiuterà in questi casi e ha anche il vantaggio che se ci fossero vulnerabilità non rilevate sulla perdita di password sul sito (ad es. Iniezione SQL), la password sarebbe stata cambiata in qualcosa di più sicuro e il formato di hashing sarebbe aggiornato. Si noti che forzare una modifica della password non aiuta ad aggiornare gli account inattivi, motivo per cui alcuni standard impongono che gli account inattivi siano disabilitati dopo un periodo di tempo (ad es. PCI dopo 90 giorni) - se la password è anche memorizzata in un formato nel DB si consiglia inoltre di cancellarlo nel caso in cui l'utente lo abbia riutilizzato altrove e successivamente trapelato.

3
SilverlightFox

Tenderei a concordare sul fatto che si tratta principalmente di un requisito basato sulla conformità con nella migliore delle ipotesi un aumento netto marginale della sicurezza (a, purtroppo, un costo sostanziale nella perdita di disponibilità operativa, a causa del blocco di utenti legittimi dopo 90 giorni, macchina -comunicazione delle macchine non riuscita perché le loro password sono scadute e nessuno le ha aggiornate, chiama l'Help Desk per risolvere i problemi di reimpostazione della password e così via).

Detto questo, ci sono validi motivi per attuare una tale politica (anche se - queste giustificazioni sono notevolmente ridotte dal periodo di validità relativamente lungo per una particolare password ... dopo tutto se un cyber-truffatore ottiene la tua password per 90 giorni, c'è un sacco di danno che lui o lei può fare).

Il più grande vantaggio si presenta nel seguente scenario:

  1. Vieni violato o altrimenti compromesso e il cyber-truffatore scopre il tuo nome utente e password.

  2. Capita di essere vicino al periodo di "cambiamento della soglia" (in genere - la fine del trimestre, e non pensare che i cyber criminali non lo sappiano).

  3. Ti viene richiesto di cambiare la tua "vecchia" password (che tu e il cyber-truffatore conoscete).

  4. Seguite la politica aziendale e cambiate la password, il che significa che ora il cyber-truffatore è nuovamente bloccato. Lui o lei può provare a usare gli stessi metodi di prima, anche per ottenere un accesso non autorizzato a queste credenziali ... ma farlo potrebbe essere fastidioso e richiedere molto tempo.

Il punto qui è, "cambiare la propria password in qualcosa di nuovo", non è qualcosa che un criminale informatico normalmente farà, perché dal suo punto di vista (a meno che, ovviamente, la password Hijack non sia in realtà una specie di Negazione- of-Service attack), cambiando la password e bloccando il legittimo (originale) proprietario fuori dall'account, avviserà immediatamente l'utente legittimo che sta succedendo qualcosa di spiacevole.

Ciò è in aggiunta al fatto che i criminali informatici di solito rubano migliaia di password alla volta; la modifica di tutti questi elementi, in particolare perché potrebbero non avere accesso ai sistemi di back-end impostati per consentire agli utenti legittimi di farlo, può essere un compito gravoso.

Nessuna delle precedenti è scritta ignorando il fatto che i criminali informatici di solito creano il proprio account privilegiato, nel momento in cui ottengono l'accesso non autorizzato al sistema, o intendono ignorare le altre potenziali debolezze nei "90 giorni obbligatori paradigma di cambio password "così diffuso in questi giorni. Pensa a questa regola come a un elemento (minore) nella tua strategia di difesa a più livelli, e vedrai che ha un posto ... ma non è certamente qualcosa su cui dovresti fare affidamento, per tenere fuori i cattivi.

3
user53510