Политика истечения срока действия пароля

Я бы посоветовал использовать математику, которая учитывает минимальную сложность вашего пароля, скорость, с которой злоумышленник может угадать пароли, количество имеющихся у вас разблокированных учетных записей и некоторую информированную информацию о ваших рисках.

Надеюсь, у вас есть какое-то ограничение скорости подбора пароля. Обычно это происходит с помощью чего-то, что временно блокирует учетные записи после некоторого количества неверных паролей.

И, надеюсь, у вас есть какие-то требования к сложности пароля, так что "A" и "password" не допускаются.

Предположим, что после 30 сбоев пароля за 10 минут вы заблокируете учетную запись на 20 минут. Это фактически ограничивает скорость подбора пароля до 174 в час или 4176 в день. Но предположим, что это на пользователя.

Предположим, вам требуются пароли из 8+ символов, содержащие верхний, нижний и числовой символы, и вы выполняете некоторые проверки словаря, чтобы убедиться, что эти пароли являются достаточно случайными. В худшем случае все ваши пользователи помещают одно верхнее и одно число в одно и то же место, и ваш злоумышленник знает это, поэтому у вас есть 10 * 26 ^ 7 (80G) возможных паролей. В лучшем случае 62 ^ 8 (218T).

Таким образом, злоумышленник, попробовавший всевозможные пароли, поразит их всех в течение 50 000 лет в худшем случае и почти 600 миллионов тысячелетий в лучшем случае. Или, другими словами, в течение одного года у них будет от 1 из 50 000 до 1 из 52 000 000 000 предположений. Если у вас есть база пользователей в 50 000 человек, это почти гарантировано, что в худшем случае они попадут в одну учетную запись в год и имеют примерно 50% шанс получить одну учетную запись каждые 6 месяцев.

А если бы у вас не было ограничения скорости и злоумышленник мог угадывать миллиард паролей в день? Шанс один из 600 получить учетную запись через год или виртуальная гарантия получения около 80 из ваших 50 000 пользователей каждый год.

Поработайте над этой математикой и выясните, где находится ваш приемлемый уровень риска. И помните, что чем короче вы установите его, тем труднее будет его запомнить пользователям и тем больше вероятность, что они записали его в удобном месте для злоумышленника.

В качестве дополнительного бонуса: если кто-то пытается использовать тысячи паролей для каждого пользователя в день против ваших систем, я действительно надеюсь, что у вас есть какой-то вид мониторинга, который это уловит.

РЕДАКТИРОВАТЬ: Забыл упомянуть: наша действительная политика составляет 90 дней, но это связано только с выводами ошибочных аудиторов безопасности и не имеет ничего общего с реальностью.

Здесь есть тонкая грань между никогда не менять и менять слишком часто. Часто использование одних и тех же паролей в течение многих лет - не лучшее решение, особенно если они общедоступны. Но принуждение к жесткой политике слишком частого изменения также имеет плохие побочные эффекты. Одно место, где я работал, заставляло всех пользователей внутренней сети менять пароли каждые 6 недель, и пароль не мог быть таким же, как у шести предыдущих паролей. Три неверных пароля заблокировали рабочую станцию, и ИТ-персоналу пришлось ее разблокировать. В результате каждый написал пароль на стикерах, висящих на экране или помещенных в свой ящик. Страшный сон.

Я бы сказал, что достаточно менять пароль каждые 6 месяцев. Это позволит избежать неприятных заметок на наклейках.

90 дней кажется достаточным для большинства сценариев. Больше всего меня беспокоит сложность пароля. Проблема не только в сроках создания заметок - это вынужденная сложность. Одно дело - избегать словарных слов, а другое - иметь специальные символы, но когда вы начинаете говорить, что никакие символы не могут повторяться или располагаться в порядке возрастания / убывания, вы усложняете жизнь своим пользователям. Добавьте это к короткому сроку службы пароля, и вы получите больше проблем.

Истечение срока действия пароля раздражает и снижает безопасность.

Истечение срока действия пароля защищает от ситуации, когда злоумышленник уже однажды скомпрометировал пароль пользователя, но не имеет механизма постоянного определения того, что это такое (например, кейлоггер).

Однако это также усложняет запоминание паролей, повышая вероятность того, что пользователи их запишут.

Поскольку защита от уже взломанного пароля на самом деле не нужна (вы надеетесь), я считаю бессмысленным истечение срока действия пароля.

Предложите пользователям выбрать для начала надежный пароль; поощряйте их запоминать это, а затем не требуйте от них изменения, иначе они в конечном итоге будут записывать их везде.

Если у вас есть устройство, которому требуются гарантии безопасности от "высокого до сверхвысокого", вам лучше использовать аппаратный токен, который генерирует одноразовые пароли, вместо того, чтобы полагаться на истечение срока действия пароля.

Главный «выигрыш» для системы истечения срока действия пароля заключается в том, что вы, в конечном итоге, БУДЕТЕ отключить учетную запись, если владелец учетной записи покинет организацию, поскольку дополнительная «проверка и баланс» к «учетной записи должна быть отключена, когда владелец учетной записи листья".

Принуждение к истечению срока действия пароля приводит, в лучшем случае, к записанным высококачественным паролям, а в худшем - к плохим паролям (на предыдущем рабочем месте, когда мы были вынуждены использовать истечение срока действия пароля, я в конечном итоге использовал (по сути) prefixJan2003, prefixFeb2003 и т. Д. on, поскольку мой предпочтительный метод генерации паролей (48 случайных битов, закодированных в Base64) не масштабируется до «новых паролей каждый месяц»).

Думаю, если вы зададите этот вопрос 10 разным специалистам по безопасности, вы получите 10 разных ответов.

Это во многом зависит от того, насколько важен актив, который защищает пароль.

Если у вас есть высокозащищенный актив, вам необходимо установить политику истечения срока действия пароля достаточно коротко, чтобы любой внешний злоумышленник не успел подобрать пароль. Другой переменной в этой ситуации является требуемый уровень сложности паролей.

Я считаю, что для систем с низким и средним уровнем безопасности срок действия в 6 месяцев является вполне справедливым.

Я думаю, что для высокого уровня безопасности лучше было бы месяц, а для «сверх» безопасных установок можно было бы ожидать еще более короткие периоды времени.

Мы обеспечиваем 90-дневный срок действия пароля для всех присутствующих (включая нас самих).

В основном потому, что это просто лучшие практики. Вероятность того, что кто-то использует «слабый» пароль, а не более надежный, выше, и чем дольше вы оставите его неизменным, это может привести к долгосрочному необнаруженному нарушению безопасности.

Срок действия паролей истекает ежегодно, и мы требуем надежных (желательно случайных) паролей длиной более 10 символов. Мы проводим словарные атаки на пароли людей, когда они их меняют. Мы храним прошлые хэши паролей, чтобы их нельзя было использовать повторно. Мы также проверяем возможные даты в пароле, как сказал Ватин. ;) Последним было мое дополнение ...

На прежней работе мы пытались увольняться чаще по указанию нового администратора сетевой безопасности - каждые два месяца. Через две недели после первой принудительной смены я водил его по нашим административным офисам, и мы заглядывали под клавиатуры и коврики для мыши. Более чем у 50% из них пароль был написан на наклейке внизу. Он был счастлив ослабить политику после того, как мы сели и поговорили с административным персоналом - по их мнению, у них недостаточно времени, чтобы запомнить.

В наши дни большая часть наших материалов - это единый вход в несколько разрозненных хранилищ. Ресурсы кампуса (редко используемые большинством людей) находятся в одном хранилище, и этот пароль управляется нашей центральной ИТ-группой. Ресурсы отдела (используемые ежедневно - вход в систему, электронная почта, редактирование веб-сайта, копировальный аппарат) - это пароль, управляемый нашей группой, срок действия которого также истекает ежегодно. Если люди жалуются на разочарование, мы отмечаем, что им нужно запомнить только один пароль.

В наши дни я генерирую md5sum для случайного файла в / var / log и использую его подмножество для своих паролей.

Мы много обсуждали это пару лет назад, когда началось политика истечения срока действия пароля. Мы только что закончили прогон l0phcract с радужными таблицами против дерева AD, чтобы увидеть, насколько это плохо, и это было довольно ужасно. Огромное количество пользователей по-прежнему использовали свой временный пароль службы поддержки после того, как позвонили / зашли для сброса пароля, что-то ужасное, например, 30% использовали пароль или какой-то его вариант в качестве пароля (p @ $$ w0rd и т. Д.) . Это убедило руководство, что это необходимо произойдет.

Поскольку мы были выше, нам приходилось бороться с летом при выборе интервала. Многие наши преподаватели не преподают летом, поэтому нашей службе поддержки пришлось готовиться к звонкам «Я забыл свой пароль», когда все они возвращаются в сентябре. Я думаю и могу ошибаться, что наш интервал составляет 6 месяцев, за исключением летнего квартала. Поэтому, если срок действия вашего 6-месячного пароля истекает в середине августа, он будет случайным образом перепрограммирован для сброса в конце сентября - начале октября.

Лучше задать вопрос, как часто меняются пароли вашей учетной записи и администратора. Слишком часто кажется, что на них не распространяется действие политики смены пароля. Кто захочет пройти через все эти сценарии для смены пароля учетной записи утилит? А некоторые системы резервного копирования затрудняют изменение используемых паролей, что не способствует изменению паролей администраторов.

Одна из основных проблем, связанных с частым истечением пароля, заключается в том, что людям будет сложно их запомнить, поэтому у вас либо будут люди, использующие слабые или похожие пароли, либо, если ваша политика не позволяет этого, они начнут записывать пароли, чтобы помочь их запомнить. . У вас также будет больше запросов на смену пароля, когда люди их забудут.

Лично это зависит от того, для чего используется пароль, но я стараюсь не хранить пароль более 3 месяцев, если только это не является полностью одноразовой учетной записью. Для вещей с повышенным риском подходит каждый месяц или около того, и демонстративно меняйте это, если кто-то, кто знает, что это уходит. Поскольку я работаю в небольшой компании по поддержке компьютеров, у нас есть несколько паролей, которые используются множеством людей, поэтому мы не хотим менять их очень часто из-за сбоев, которые это может вызвать.

Интересные комментарии. Конечно, почему всегда обсуждается, что запоминание паролей - это техническая проблема, а не нетехническая проблема персонала в компании? Какое отношение имеет чьи-либо способности с компьютерным оборудованием / программным обеспечением к их способности серьезно относиться к безопасности? Выдаст ли нетехнический человек свою кредитную карту или дебетовый пин №? Кроме того, люди, помещающие пароли на стикеры на своем столе, должны быть основанием для увольнения. Удивительно, как улучшится память людей, когда они действительно осознают важность безопасности и к ней нужно относиться серьезно. Я не вижу ничего другого в том, что роль дресс-кода и правил поведения на работе. Соблюдайте правила или до свидания!

Я думаю, что имея больше безопасный пароль гораздо важнее, чем его частая смена, но оба они, безусловно, необходимы для безопасной системы.

Утверждается, что сложные пароли трудно запомнить, и сотрудники их записывают. Я считаю, что подавляющее большинство атак происходит извне, и даже записать сложный пароль и прикрепить его к монитору безопаснее, чем запоминать простой пароль.

Я реализую аутентификацию на основе одноразового блокнота и токена времени, поэтому теоретически каждый раз, когда пользователь входит в систему.

Хотя это, возможно, не по теме, одноразовый блокнот кажется лучшим решением.

Точно так же, и в более общем плане, гарантия того, что пользователь создает надежный пароль и понимает этику, лежащую в основе вашей политики безопасности (не записывайте его, не делайте его своим днем ​​рождения, не давайте его никому), будет иметь большое значение. больше, чем просто принуждение их менять каждый n-й интервал времени.