Zauważyłem w kilku przypadkach, że zmuszanie użytkowników do regularnej zmiany hasła staje się bardziej obciążeniem dla konserwacji niż dla bezpieczeństwa. Widziałem też, jak użytkownicy zapisują swoje nowe hasła, ponieważ albo nie mają wystarczająco dużo czasu, aby zapamiętać swoje hasła i nie mogą mieć trudności z ponownym nauczeniem się innego.
Jakie korzyści związane z bezpieczeństwem wymuszają zmianę haseł?
Odpowiedzi:
Oto inne podejście do pamiętnika SANS:
Zasady dotyczące hasła: zmieniaj je co 25 lat
Jest jedna praktyczna korzyść. Jeśli ktoś ma Twoje hasło i chce tylko przeczytać Twój e-mail i pozostać niewykrytym, może to zrobić na zawsze, chyba że ostatecznie zmienisz swój klucz logowania. W związku z tym regularna zmiana hasła nie pomaga zbytnio przed włamaniem się i wyłudzaniem go przez twoje towary, ale daje szansę, aby pozbyć się prześladowców lub szpiegów, którzy mieliby dostęp do twojego konta. Tak, to jest dobre. Ale czy sama ta korzyść jest warta kłopotów i wspomnianych wad zmuszania użytkowników do zmiany hasła co 90 dni, mam wątpliwości.
Wymuszaj zmianę hasła podczas zgadywania (uruchamiając program zgadywania hasła przez wszystkich użytkowników przez cały czas).
Trudno kłócić się z „musisz zmienić hasło”, kiedy odpowiedź na pytanie „dlaczego?” to „ponieważ mogliśmy odgadnąć, że jest ślepy”. Automatycznie nagradza tych, którzy wybierają trudne do odgadnięcia hasła, i uczy użytkowników, jakie hasła są słabe. Jeśli wybiorą „hasło1”, wygaśnie, zanim będą mogli zalogować się raz. Jeśli użytkownik wybierze losowe, alfanumeryczne hasło składające się z 16 znaków, nigdy nie zgadniesz - podobnie jak nikt inny. Pozwól im zachować to bardzo długo, a nawet będą w stanie zapamiętać.
To jest kompromis. Wymaganie częstych zmian hasła powoduje, że hasła są gorszej jakości. W tym celu przeprowadzono nawet badania.
Biorąc to pod uwagę, jedynym niezawodnym sposobem, który uniemożliwiłem użytkownikom udostępnianie haseł, jest okresowa zmiana hasła. Moje doświadczenie pokazuje, że 90 dni wydaje się być dobrym kompromisem między użytecznością a bezpieczeństwem. Jeśli przejdziesz dłużej, ludzie zaczną polegać na wspólnych hasłach - wcześniej skończysz na „November09”, „December09”.
Najgorsze w wymuszaniu zmiany haseł nie jest to, że w rzeczywistości powodujesz, że ludzie zmieniają swoje hasła. Zwykle pojawia się z niewielkim ostrzeżeniem lub bez ostrzeżenia i od razu pojawia się problem, z którym muszą sobie poradzić od razu, więc zamiast dać komuś czas na wymyślenie dobrego hasła, prawdopodobnie jest to hasło mniej bezpieczne ale łatwiejsze do zapamiętania lub bardziej bezpieczne, ale po prostu zostaje spisane, co neguje korzyści bezpieczeństwa.
Jeśli hasła są na tyle skomplikowane, że nie można ich łatwo odgadnąć i nie są współużytkowane przez systemy, i jest mało prawdopodobne, że zostało złamane, zmiana hasła prawdopodobnie nie jest aż tak ważna.
Jednak jeśli którykolwiek z nich wystąpi, a pierwsze dwa są prawdopodobnie bardziej powszechne niż nie, zmuszanie ludzi do okresowej zmiany hasła oznacza, że przynajmniej rzadziej udostępniają hasła.
To powiedziawszy, chciałbym poinformować użytkowników o tym, co oznacza dobre hasło i dlaczego bardzo źle jest je udostępniać. Zapisywanie ich jest powszechne bez względu na to, co robisz.
Polecam ludziom, aby wybrali hasło z książki, którą znają, pamiętając z niej niezbyt znany cytat lub wymyślając frazę. Użyj pierwszej litery z każdego słowa i dodaj gdzieś dwie cyfry. Większość ludzi pamięta to po kilkukrotnym wpisaniu.
Nie widzę żadnych korzyści z tej praktyki.
Silne hasło jest o wiele ważniejsze. Przez silny mam na myśli albo 9+ alfanumeryczne + specjalne symbole, albo 15+ [az] - nie-słownikowe hasło / frazę (jest to oparte na niedawnym badaniu kosztów brutalnego wymuszania haseł przy użyciu EC2 Amazon).
Systemy z dostępem zdalnym muszą mieć oprogramowanie do wykrywania i zapobiegania brutalności (np. Fail2ban) we wszystkich odsłoniętych usługach. Jest to o wiele ważniejsze, IMO, niż zwykła polityka zmiany hasła.
Podstawową kwestią jest to, że hasła jako mechanizm bezpieczeństwa śmierdzą.
Jeśli poprosisz ludzi o częstą ich zmianę, zapisz je. Jeśli poprosisz ich o użycie 30 literowych haseł z co najmniej 3 cyframi, 4 dużymi literami i znakiem kontrolnym, zapominają je lub zapisują lub robią inne głupie rzeczy. Jeśli są proste, użytkownicy będą używać głupiego hasła, takiego jak bunny7 lub Bunny7. I będą używać tego samego złego hasła do wszystkiego, w tym do konta porno i konta Hotmail.
Lubię takie narzędzia, jak Mobile OTP , które pozwalają użytkownikom używać telefonu komórkowego jako narzędzia uwierzytelniania dwuskładnikowego.
W dłuższej perspektywie prawdopodobnie wylądujemy w świecie z zaszyfrowanymi certyfikatami jako mechanizmem identyfikacji użytkownika. Rzeczy takie jak OpenID i CAS upraszczają uwierzytelnianie użytkownika i umożliwiają wygodne logowanie jednokrotne.
W dłuższej perspektywie najlepszym rozwiązaniem jest ograniczenie liczby przypadków, w których użytkownicy muszą wydawać dane uwierzytelniające - pozbyć się hasła „HR” i hasła „harmonogramu” oraz hasła „CRM”. Ujednolic je we wspólnej infrastrukturze uwierzytelniania, która wymaga od użytkowników jednorazowego wystawienia poświadczeń. Następnie niech używają czegoś takiego jak MobileOTP lub RSA SecurID, który wykorzystuje uwierzytelnianie dwuskładnikowe.
W krótkim okresie polityka haseł będzie przedmiotem wojen religijnych. Po prostu rób wszystko, o co poprosi Twój szef, a jeśli jesteś szefem, dokonaj oceny na podstawie bazy użytkowników i oczekiwanego profilu bezpieczeństwa.
Powodzenia!
Ta praktyka, która nie jest całkowicie bezużyteczna, dawno temu była o wiele ważniejsza. Debata na temat tej polityki jest w rzeczywistości bezproduktywna, ponieważ odwraca uwagę od obecnych poważniejszych zagrożeń.
Rozważać:
Jeśli korzystasz z systemu Windows / AD, a dla konta nie jest zaznaczone pole „Konto jest poufne i nie można go delegować”, z tego konta można korzystać przez personifikację i nie jest wymagane hasło. Kod do wykonania tego jest trywialny.
Jeśli stacja robocza systemu Windows zostanie naruszona przez lukę w zabezpieczeniach, jej token bezpieczeństwa systemu Windows w pamięci może zostać wykorzystany do uzyskania dostępu do innych komputerów. Ponownie hasło nie jest wymagane.
Nawiasem mówiąc, ten drugi powód, dla którego powinieneś uzyskiwać dostęp do serwerów tylko przy użyciu konta innego niż codzienne konto zwykłego użytkownika. Należy również pamiętać, że oba scenariusze całkowicie pokonują nawet najbardziej niezawodne mechanizmy uwierzytelniania dwuskładnikowego.
Najlepszą rzeczą, jaka może się zdarzyć w odniesieniu do bezpieczeństwa hasła, jest zaprzestanie debaty i skupienie się na bardziej współczesnych i poważnych zagrożeniach.
Więcej informacji:
Sprawdź prezentację Luke'a Jenningsa: „Jeden token do rządzenia nimi wszystkimi”:
http://eusecwest.com/esw08/esw08-jennings.pdf
Insomnia Shell - przykład kodu wymaganego do złamania tokena na serwerze ASP.Net:
http://www.insomniasec.com/releases/tools
Instrukcje: korzystanie z protokołu przesyłania i ograniczonej delegacji w programie ASP.NET 2.0
http://msdn.microsoft.com/en-us/library/ms998355.aspx
Wyszukaj „bez hasła”.
Im dłużej hasło pozostanie niezmienione, tym bardziej prawdopodobne jest, że zostanie ono złamane, po prostu dlatego, że będzie więcej możliwości w sytuacjach, w których może zostać naruszone (biorąc pod uwagę nieskończoną ilość czasu, wszystko jest możliwe). Utrudnia to również zmianę w przyszłości, ponieważ użytkownik przyzwyczai się do starej. Kolejne ryzyko polega na tym, że jeśli zostanie przejęte, a użytkownik nie jest świadomy faktu, że może dojść do poważnego ciągłego niewłaściwego korzystania z konta użytkownika. Okresowe zmiany przynajmniej to złagodzą, ponieważ następna wymuszona zmiana hasła spowoduje, że zhakowane hasło będzie bezużyteczne.
Z mojego doświadczenia wynika, że scenariusz, który najprawdopodobniej spowoduje, że użytkownicy będą zapisywać hasła, to brak wspólnego myślenia w twojej infrastrukturze bezpieczeństwa, na przykład posiadania wielu różnych systemów, z których każdy wymaga unikalnej kombinacji nazwy użytkownika i hasła. Rzuć 5 z nich na użytkownika, a otrzymasz syndrom żółtej karteczki z zemstą.
Rozsądna polityka haseł, która umożliwia użytkownikom wybieranie haseł łatwych do zapamiętania, ale trudnych do złamania, w połączeniu z dobrą edukacją użytkowników, solidnym zintegrowanym uwierzytelnianiem oraz przyzwoitymi zasadami dotyczącymi blokowania i wygaśnięcia, a wszystko to poparte przez AUP, która wyraźnie zabrania udostępniania haseł, to: Najlepszym sposobem.
Jeśli buforujesz dane uwierzytelniające (co większość ludzi robi dla dostępności), jest to koniecznością. Jeśli komputer zostanie fizycznie skradziony, a buforowanie poświadczeń jest włączone, złodziej może brutalnie zmusić maszynę do opuszczenia sieci bez obawy o aktywację zasady blokowania konta. Następnie mają prawidłowe poświadczenia do zasobów sieciowych. Zmiana tych haseł w regularnych odstępach czasu może pomóc zminimalizować te uszkodzenia.
To jest dokładnie powód, dla którego nigdy nie logujesz się na konto uprzywilejowane, zawsze logujesz się jako ograniczony użytkownik i podnosisz indywidualne monity, co zapobiega brutalnej wymuszonej autoryzacji poświadczeń w przypadku kradzieży / włamania.
Jestem w obozie, że nigdy nie wymagam zmiany hasła. Lub jak mówi artykuł - co 25 lat - tak, wtedy będę martwy. Dobry. Oto dlaczego ... Mam 12 haseł do zapamiętania w mojej pracy. Większość z nich się zmienia, a te, które się zmieniają, mają zupełnie inny harmonogram. Wszystkie mają różne wymagania wytrzymałościowe. Jak słaby człowiek może sobie z tym poradzić? Kilka sposobów, które widziałem: napisz je na białej tablicy. Napisz je na papierze i przechowuj w otwartej szufladzie. lub moja preferowana metoda: przechowuj je w dość niepewnym arkuszu kalkulacyjnym Google Doc. W żaden sposób nie możesz mnie przekonać, że którakolwiek z tych metod (które są BARDZO powszechne) nie całkowicie równoważy jakąkolwiek niewielką korzyść bezpieczeństwa uzyskaną poprzez wymaganie zmian.
Mam czas na napisanie tego posta, ponieważ czekam na kogoś z działu IT, aby odblokował jedno z moich kont. Najwyraźniej ostatni raz nie zaktualizowałem mojego arkusza kalkulacyjnego. Czy istnieje badanie, które oblicza BILLION $$$ utracone przez ten nonsens?