it-swarm-eu.dev

Perché alcuni siti impediscono agli utenti di riutilizzare le loro vecchie password?

Mi sono sempre chiesto perché è che cattivo riutilizzare le vecchie password; non dovrebbe essere la fine del mondo se ci capita di usare una vecchia password che abbiamo usato in precedenza.

Dopotutto, credo che la maggior parte delle volte che cambiamo le nostre password non sia a causa di minacce reali (di solito lo sarà perché la nostra paranoia interna). Ma mentre è vero che a un certo punto, una di quelle minacce sarà reale e riusciremo a salvare i nostri account, è improbabile che l'hacker memorizzi la password non riuscita e riprovi.

Ma come dico sempre, le aziende non infastidiscono migliaia di utenti senza una buona ragione, i professionisti stanno chiaramente superando i contro per loro.

Tuttavia, quando scatto questa foto, involontariamente sto coprendo dettagli importanti con le dita, chiunque abbia la mente completa per dirmi cosa mi sono perso? (Ho dita davvero grandi.)

33
ajax333221

La prima domanda è: perché alcuni servizi richiedono che le password vengano cambiate periodicamente. La risposta è "Mitigazione del rischio".

Il governo societario richiede che le politiche di sicurezza IT siano definite secondo un piano di gestione dei rischi. Una delle domande poste dai piani di gestione dei rischi è come è possibile mitigare un rischio se si verifica. Nel contesto delle password, la domanda è come possiamo limitare il danno di una perdita di password.

Se l'amministratore di sistema è a conoscenza della perdita, gli utenti possono essere avvisati e possono essere prese altre misure. Per ridurre il danno causato da una perdita di password di cui l'amministratore non è a conoscenza, la durata delle password è limitata in modo che qualsiasi password trapelata possa essere utilizzata solo per un breve periodo di tempo.

Quindi i servizi richiedono periodici cambi di password. Il problema è che agli utenti non piace davvero cambiare la password. Quindi, ciò che gli utenti facevano quando erano costretti a cambiare la loro password era cambiarla due volte - una volta in una password temporanea e poi una seconda volta nella password originale. Ciò ovviamente annulla lo scopo della politica di richiedere la modifica delle password.

Quindi la cosa successiva che gli amministratori hanno fatto è stata archiviare le ultime due password e verificare che la nuova password fosse diversa dalle due precedenti. Gli astuti utenti l'hanno contrastata cambiando la password tre volte: due password temporanee e tornando alla password originale.

Potresti pensare che gli utenti non si preoccuperebbero solo di non cambiare le password, ma questo è ciò che è realmente accaduto. Un mio amico amministratore una volta ha confrontato le password con hash nel suo sistema dopo un anno e ha scoperto che quasi tutte le password erano le stesse, nonostante il fatto che quella politica delle password costringesse gli utenti a cambiare le password ogni tre mesi.

Quindi gli amministratori hanno iniziato a memorizzare le ultime 10 password. E gli utenti hanno risposto utilizzando una password fissa più una singola cifra che cambia alla fine per un ciclo di 10 password. E così abbiamo raggiunto oggi la situazione in cui molti sistemi memorizzano tutte le password precedenti.

Detto questo, il vero valore di queste politiche è dubbio. Gli esseri umani hanno una capacità limitata di ricordare le password e se si spreca nel ricordare queste password in rapido cambiamento non possono essere utilizzate per conservare password diverse su siti diversi (il che è molto più importante).

27
David Wachtfogel

Perché i burocrati amano essere burocratici. Pensano di aggiungere valore imponendo tutte queste restrizioni. In realtà, non così tanto. Non è chiaro che sia utile richiedere alle persone di modificare le password o impedire il riutilizzo di vecchie password su base regolare. Ma cosa puoi fare?

Queste politiche sono spesso imposte da persone non tecniche, che non sono abituate a pensare attraverso un'attenta analisi dei rischi in modo logico e sistematico. Se sembra giusto, allora vanno con esso. E capisco perché imporre questo tipo di requisiti sia una buona cosa: sembra che tu stia "facendo qualcosa". E sicuramente fare qualcosa deve essere migliore di niente , giusto? Almeno così va il pensiero. (Il pensiero è probabilmente sbagliato, ma non importa.)

In alternativa, a volte ci sono requisiti di conformità esterni che possono costringere gli amministratori di sistema a imporre questo tipo di requisiti. Tali requisiti di conformità potrebbero non essere effettivamente utili o sensati, ma se esistono, non c'è scelta: devi conformarti.

Vorrei indicarti un fantastico documento di ricerca su questo argomento:

Il documento esamina 75 diversi siti Web, che spaziano tra una vasta gamma di destinatari e requisiti di sicurezza: da siti finanziari online, siti governativi, siti educativi, commercio e intrattenimento e così via. Esamina i loro requisiti di password.

Ha alcuni risultati sorprendenti. Ad esempio, il grado di sensibilità della sicurezza, il valore delle risorse protette e il numero di utenti non tendono a correlarsi con la rigidità dei requisiti di password del sito. Come afferma il documento, "Alcuni dei siti più grandi, di maggior valore e più attaccati su Internet come Paypal, Amazon e Fidelity Investments consentono password relativamente deboli". Anche i siti che hanno molto da perdere a causa di violazioni della sicurezza hanno spesso requisiti di sicurezza deboli.

Perché? Questo potrebbe sembrare un po 'un enigma.

Il documento inizia a fornire alcuni suggerimenti quando rileva che i siti governativi ed educativi tendono ad avere rigorosi requisiti di password, ma i siti che accettano pubblicità o ottengono maggiori entrate per utente tendono ad avere requisiti di sicurezza più lassisti.

Il documento alla fine trae la seguente conclusione: per i siti educativi e governativi, i loro utenti non hanno scelta. I loro utenti non possono eseguire difetti su un sito della concorrenza. Pertanto, questi tipi di siti possono cavarsela con requisiti di password inutilmente rigorosi; non hanno incentivi per migliorare l'usabilità. Al contrario, i siti commerciali in cui gli utenti hanno una scelta hanno fatto il proprio compromesso di rischio e hanno deciso che la perdita di usabilità dei rigidi requisiti di password supera qualsiasi modesto vantaggio di sicurezza derivante da severi requisiti di password. In effetti, anche quei siti commerciali che potenzialmente hanno molto da perdere a causa di violazioni della sicurezza - ad esempio siti bancari e finanziari online - hanno spesso requisiti di password relativamente deboli. Se si presume che tali siti sappiano cosa stanno facendo e abbiano effettuato l'analisi costi-benefici, ciò suggerisce che i vantaggi in termini di sicurezza derivanti da rigorosi requisiti di password sono compensati dai costi di usabilità.

È un ottimo documento. Dovresti leggerlo.

A proposito, so che il documento parla di requisiti di solidità, al contrario di politiche di cambio password o politiche di riutilizzo password, ma le stesse conclusioni si applicano ugualmente (in realtà, con ancora più forza) a queste ultime. I requisiti di sicurezza della password hanno abbastanza plausibili vantaggi in termini di sicurezza. Al contrario, non è chiaro se esiste qualsiasi modello di rischio razionale che implica qualsiasi beneficio per le politiche che impongono la modifica delle password (e impediscono il riutilizzo di vecchie password). Ciò mi suggerisce che le rigide politiche di modifica della password e il riutilizzo della password probabilmente non hanno senso.

14
D.W.

Non è male lasciare le password attive a lungo.

Tuttavia, alcune persone ritengono che il rinnovo della password sia importante e migliori la sicurezza. In tutta onestà, sono un po 'perplesso quando si tratta di capire quale tipo di ragionamento vada in quella affermazione; nella migliore delle ipotesi, forzare cambi regolari di password può avere dei benefici se consideriamo che alcune password sono già state rubate - cambiare tutte le password sarebbe come una pulizia superficiale, un modo per rendere più tollerabile una situazione marcia.

Tuttavia, if un amministratore di sistema vuole che gli utenti cambino le loro password, quindi proibire il riutilizzo delle password è abbastanza logico: se gli utenti riutilizzano le vecchie password, non cambiano davvero le loro password. Qualsiasi vantaggio si possa ottenere dalla modifica della password, verrebbe annullato dal vecchio riutilizzo della password.

10
Thomas Pornin

Concordo sostanzialmente con ciò che hanno detto Thomas Pornin e David Wachtfogel. Quello che voglio aggiungere è che a volte questa politica viene applicata in alcune applicazioni per motivi non abbastanza tecnici. Ad esempio, se un'azienda desidera certificare una conformità PA-DSS, deve soddisfare determinati requisiti:

The payment application keeps password history and requires 
that a new password is different than any 
of the last four passwords used.

PA-DSS

Di recente ho visto tali implementazioni. Se l'hash della password è debole (ad es. MD5), ciò potrebbe ridurre la sicurezza generale del sistema secondo me. Inoltre, se le persone sono spesso costrette a cambiare le loro password finiscono per scriverle su carta, note, file di testo ecc. O semplicemente cambiano una cifra o un carattere all'interno della password. D'altra parte PA-DSS non impedisce l'uso di algoritmi deboli per memorizzare le password (ad es. MD5, hash SHA2 invece di PBKDF2 o bcrypt/scrypt).

Non riesco davvero a trovare e comprendere argomenti forti per tali politiche.

7
Lachezar Balev

La modifica delle password è una buona pratica, a mio avviso personale. A volte non ci è consentito utilizzare una delle vecchie password, nel caso in cui l'abbiamo divulgata in passato e non lo ricordiamo, ciò aumenta le possibilità di violazione della sicurezza nel tuo account.

E alcuni siti Web non ti consentono di forzare l'utente a modificare la password (in parole povere, per impedire a qualcuno di digitare la stessa password esistente anche se si sente pigro a cambiarne una, altrimenti digiteranno la stessa password della loro attuale password.)

1
Ablaze

Sono sorpreso che nessuno l'abbia ancora detto. Dal punto di vista degli amministratori di un sito Web, cambiare le password secondo una pianificazione regolare (anche se sono sicure) è una buona idea nel caso in cui un utente malintenzionato abbia già violato il database. Se costringi i tuoi utenti a cambiare regolarmente le loro password, speriamo che la maggior parte, se non tutte, delle password siano state cambiate quando l'attaccante apprende la versione in chiaro della tua password con hash (che aveva precedentemente rubato).

1
Fairlight