Jak często zmieniasz hasło administratora / roota?

12

Mam zły nawyk rzadkiej zmiany hasła administratora w mojej domenie. Hasła, których używam, są całkiem dobre, ale chcę być bardziej konsekwentny.

Jak myślisz, co to jest dobra częstotliwość? Może co 6 miesięcy?

password 
użytkownik24555
źródło
90-dni jest dobrą ogólną najlepszą praktyką do zmiany haseł.
Warner,
W Uniksie możesz używać narzędzia takiego jak sudo, co oznacza, że ​​niektórzy użytkownicy mogą otrzymać przywileje root na krótki czas. Nie muszą znać hasła roota. W rzeczywistości możesz uciec od braku jednego zestawu lub jego znajomości. W takim przypadku nie musisz go zmieniać. Użytkownicy będą jednak musieli zmienić własne hasła.
Matt
O Boże, po przeczytaniu wszystkich tych postów, wiem na pewno, że istnieje jedna domena, w której czasami pracuję (w której nie jestem administratorem systemu, ale mam konto administratora), w której administratorhasło było takie samo od 7 lat, i ma tylko 8 znaków. Może wyślę im wiadomość e-mail ...
Mark Henderson

Odpowiedzi:

9

Zróbmy szybkie obliczenia (i zapomnijmy na chwilę o najlepszych praktykach):

Załóżmy, że atakujący włamie się do systemu na sześć miesięcy. Załóżmy również, że hasła są wybierane losowo z zestawu znaków o rozmiarze 62.

Scenariusz 1: Używasz 9-znakowego hasła przez całe sześć miesięcy.

Scenariusz 2: Używasz 9-znakowego hasła przez pierwsze trzy miesiące, a innego 9-znakowego hasła dla pozostałych trzech miesięcy.

Scenariusz 3: Używasz 10-znakowego hasła przez całe sześć miesięcy.

W scenariuszu 1 atakujący brutalną siłą włamuje się na twoje konto ze 100% pewnością, jeśli uda mu się wykonać 62 ^ 9 prób w tym czasie.

W scenariuszu 2 , jeśli uda mu się wykonać tylko (62 ^ 9) / 2 próby w połowie czasu (trzy miesiące), zhakuje konto z 50% pewnością. W drugiej połowie dostanie kolejną szansę z 50% pewnością. Więc statystycznie zhakuje konto z 75% pewnością.

W scenariuszu 3 będzie miał 62 ^ 9 prób przez całe sześć miesięcy. Ale są 62 ^ 10 możliwości. Więc zhakuje konto tylko z 1/62 pewnością, czyli około 1,6%.

Jeśli więc pomijamy wszystkie inne czynniki (takie jak skradzione hasła i inne rodzaje ataków), zaleca się raczej wybranie dłuższych haseł niż używanie krótszych (lub prostszych) haseł, nawet jeśli są one częściej zmieniane. Zwłaszcza, że ​​w Scenariuszu 3 jest tylko 10 znaków do zapamiętania, podczas gdy w Scenariuszu 2 jest to 18 znaków.

Chris Lercher
źródło
2
+1, używaj bardzo długich haseł. W rzeczywistości nikt nie złamie hasła 18+ znaków w ciągu 6 miesięcy. Jeśli naprawdę chcą twoich danych tak bardzo, po prostu włamują się i kradną serwer.
Chris S
Uwielbiam to, dobrze powiedziane. Z hasłami ... rozmiar ma znaczenie.
Kara Marfia
Tak więc dobre długie hasło powinno dobrze sobie radzić przez dość długi czas. Myślę, że użyję dobrego hasła i zrobię 12-miesięczny cykl. To da mi dobrą okazję do udokumentowania wszystkiego, co się zepsuje (niestety). Edycja: Przez dobre mam na myśli ponad 16 znaków. Lubię używać zdań zawierających interpunkcję i spacje.
user24555
Zawsze chicham, gdy ktoś mówi o brutalnym wymuszaniu hasła. To się nie stanie. Kropka. Tylko NSA (lub odpowiednik) lub przestępczość zorganizowana może to zrobić, w którym to przypadku masz znacznie większe problemy, których nie da się rozwiązać za pomocą dobrego hasła.
Dan Andreatta
Dodając do poprzedniego komentarza, zrobiłem szybką matematykę, a złamanie hasła 6 znaków na nowoczesnym pulpicie zajęłoby około 1 dnia, co prowadzi do 10 lat dla hasła 8 znaków. Wydajność szyfrowania, jeśli pochodzi z testu szybkości openssl.
Dan Andreatta
2

Przeważnie jesteśmy oknami, a każdy z administratorów ma swoje własne konto administratora domeny i ufamy sobie nawzajem, że mamy silne hasła i zmieniamy je co jakiś czas. Jestem pewien, że wszyscy mają silne hasła, ponieważ używamy presji otoczenia, aby upewnić się, że są długie i zawierają liczby i / lub znaki, ale nie zmieniamy ich wystarczająco często. \

DODANO: Do tej pory większość ludzi prawdopodobnie to słyszało, ale na wszelki wypadek. Bruce Schneier, ekspert ds. Szyfrowania i bezpieczeństwa, mówi, że powinieneś mieć silne hasła i zapisać je.

Totem - Przywróć Monikę
źródło
Jak działa presja rówieśnicza? Czy ludzie mogą widzieć swoje hasła?
Bill Weiss,
2
Z mojego doświadczenia wynika, że ​​nie można ufać każdemu użytkownikowi, aby sam zmienił hasło, nawet personel IT.
ITGuy24
@ Bill: jest nas tylko troje i pracowaliśmy razem od dawna, więc presja otoczenia jest taka sama, jak w przypadku „Nie widziałem, żebyś wtedy wpisywał liczby…”
Totem - Przywróć Monikę
To nie skaluje się zbyt dobrze :) Również nawyk patrzenia, jak ludzie wpisują hasła administratora, nie pójdzie dobrze, jeśli będziesz często odwiedzać inne witryny.
Bill Weiss,
Co powiesz na coś w rodzaju „przekleństwa”? Jeśli innemu administratorowi uda się złamać twoje hasło (używając czegoś takiego jak ophcrack), musisz włożyć 5 $ do puli.
Nic
1

Chociaż teoretycznie znacznie lepiej byłoby często zmieniać hasła, współczynnik „piszmy to na post-it-it” rośnie wykładniczo w miarę skracania się okresu ważności.

Jeśli jest to tylko do użytku prywatnego, dlaczego nie skorzystać z uwierzytelniania za pomocą klucza publicznego i mieć po prostu dobrą PW dla swojego klucza?

Alexander T.
źródło
1
To pytanie zawiera mnóstwo pomysłów na zarządzanie hasłami: serverfault.com/questions/21374/…
Totem - Przywróć Monikę
1

Czy faktycznie mówisz o koncie administratora dla domeny (SID: S-1-5-21domain-500), czy mówisz o utworzonym dla siebie koncie administratora, aby uzyskać przydatne dzienniki dotyczące tego, kto co robi?

Zasadniczo skonfiguruję konto administratora, aby mieć długie (ponad 20 znaków hasło) i przechowywać hasło w bezpiecznej lokalizacji i nigdy nie używać tego konta. Zasadniczo zmieniam to hasło co roku. Nasza sieć ma również systemy blokujące, które powinny zapobiegać bardzo skutecznym atakom z użyciem siły zdalnej. Ponieważ nigdy nie używam hasła do codziennych zadań, prawdopodobne jest, że hasło do niego przechwycone prawie nie istnieje.

Jeśli mówisz o moim koncie osobistym, któremu nadałem uprawnienia administratora, zwykle zmieniam go co 6 miesięcy. W miarę możliwości używam również uwierzytelniania opartego na kluczach, więc moje hasło jest bardzo rzadko przekazywane w dowolnym miejscu. Nie pracuję też ogólnie z tym, co według mnie większość ludzi uważa za systemy wysokiego ryzyka.

Zoredache
źródło
Mówię o administratorze domeny. Moje własne konto nie należy do grupy administratorów domeny. Myślę, że dobrą praktyką byłoby zaprzestanie używania oryginalnego administratora domeny i utworzenie dodatkowego administratora domeny z inną nazwą użytkownika.
user24555
0

Bez względu na to, jak skomplikowane hasła możesz ustawić. Dobrą praktyką jest zmiana hasła co 30 do 42 dni. 6 miesięcy to zdecydowanie stare hasło. Zawsze powinna być wdrożona dobra polityka haseł, aby zachować bezpieczeństwo :-)

Vivek Kumbhar
źródło
4
Skąd pomysł na „30 do 42 dni”?
Bill Weiss,
Najlepszą praktyką bezpieczeństwa jest wygasanie haseł co 30 do 90 dni, w zależności od środowiska. W ten sposób atakujący ma ograniczony czas na złamanie hasła użytkownika i dostęp do zasobów sieciowych. Domyślnie: 42. Nie moje słowa,
wzięte
1
Co powiesz na podanie nam linku do dokumentu lub odniesienia, w którym jest to zaznaczone, zamiast powtarzania, że ​​jest to „najlepsza praktyka”. Zasadniczo odmawiam uważania czegoś za najlepszą praktykę, chyba że zostanie opublikowana w wiarygodnym źródle.
Zoredache,
1
na pewno .. cieszę się, że zapytałeś technet.microsoft.com/en-us/library/cc784090(WS.10).aspx
Vivek Kumbhar
Narzędzie wyszukiwania mojej przeglądarki musi być uszkodzone. Nie widzę tam „42”.
Bill Weiss,
-1

Zwykle resetuję hasła roota tylko po odejściu członka personelu ... ale zachęcam użytkowników z dostępem sudo do zmiany hasła co 90 dni.

Philip
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.