У меня есть дурная привычка редко менять пароль администратора в моем домене. Пароли, которые я использую, довольно хороши, но я хочу быть более последовательным в этом вопросе.
Как вы думаете, какая частота подходит? Возможно, каждые 6 месяцев?
Давайте быстро вычислим (и забудем на мгновение о лучших практиках):
Предположим, что злоумышленник сможет взломать вашу систему в течение шести месяцев. Также предположим, что пароли выбираются случайным образом из набора символов размером 62.
Сценарий 1: Вы используете пароль из 9 символов в течение всех шести месяцев.
Сценарий 2: Вы используете пароль из 9 символов в течение первых трех месяцев и другой пароль из 9 символов в течение оставшихся трех месяцев.
Сценарий 3: Вы используете пароль из 10 символов в течение всех шести месяцев.
В Сценарий 1, злоумышленник взломает ваш аккаунт со 100% уверенностью, если за это время сможет сделать 62 ^ 9 попыток.
В Сценарий 2, если он сможет сделать только (62 ^ 9) / 2 попытки за половину времени (три месяца), он взломает аккаунт с 50% уверенностью. Во второй половине у него будет еще один шанс с 50% уверенностью. По статистике, он взломает аккаунт с вероятностью 75%.
В Сценарий 3, у него будет 62 ^ 9 попыток за полгода. Но есть 62 ^ 10 возможностей. Таким образом, он взломает аккаунт только с вероятностью 1/62, это примерно 1,6%.
Поэтому, если мы не учитываем все другие факторы (например, украденные пароли и другие виды атак), рекомендуется выбирать более длинные пароли, чем использовать более короткие (или более простые) пароли, даже если они меняются чаще. Тем более, что в Сценарий 3, нужно запомнить только 10 символов, а в Сценарий 2, это 18 символов.
Мы в основном Windows, и у каждого из администраторов есть собственная учетная запись администратора домена, и мы просто доверяем друг другу иметь надежные пароли и время от времени их менять. Я уверен, что у всех есть надежные пароли, потому что мы используем давление со стороны коллег, чтобы убедиться, что они длинные и содержат цифры и / или символы, но мы не меняем их достаточно часто. \
ДОБАВЛЕНО: К настоящему времени, наверное, большинство людей это слышали, но на всякий случай. Эксперт по шифрованию и безопасности Брюс Шнайер говорит у вас должны быть надежные пароли и записывать их.
Хотя теоретически было бы намного лучше менять пароли часто, коэффициент «давайте-напишем-на-пост-это-напишем» экспоненциально возрастает по мере того, как срок действия становится короче.
Если это только для частного использования, почему бы не использовать аутентификацию с открытым ключом и иметь только хороший PW для своей связки ключей?
Вы на самом деле говорите об учетной записи администратора для домена (SID: S-1-5-21domain-500) или об учетной записи администратора, которую вы создали для себя, чтобы вы могли получать полезные журналы о том, кто чем занимается?
Обычно я настраиваю учетную запись администратора так, чтобы иметь длинный (более 20 символов пароль) и хранить пароль в безопасном месте и никогда не использовать эту учетную запись. Обычно я меняю этот пароль только раз в год или около того. В нашей сети также есть системы блокировки и тому подобное, которые должны предотвратить эффективные удаленные атаки методом грубой силы. Поскольку я никогда не использую пароль для повседневных задач, вероятность его перехвата практически отсутствует.
Если вы говорите о моей личной учетной записи, которой я предоставил права администратора, я обычно меняю ее каждые 6 месяцев. Я также стараюсь использовать аутентификацию на основе ключей, когда это возможно, поэтому мой пароль очень редко куда-либо передается. Я также обычно не работаю с тем, что, как мне кажется, большинство людей считает системами высокого риска.
Независимо от того, насколько сложные пароли вы можете устанавливать. Всегда рекомендуется менять пароль каждые 30–42 дня. 6 месяцев - слишком старый пароль. Всегда должна быть реализована хорошая политика паролей, чтобы оставаться в безопасности :-)
Обычно я сбрасываю пароли root только после ухода сотрудника ... но рекомендую пользователям с доступом sudo менять свои каждые 90 дней.