Soru Düzenli değişen bir şifre politikası için bir güvenlik avantajı var mı?


Çeşitli durumlarda, kullanıcıların parolalarını düzenli olarak değiştirmelerini zorlamak, güvenlik konusunda bir yardımdan ziyade bakımdaki bir zorluğa neden olur. Ayrıca, kullanıcıların şifrelerini hatırlamak için yeterince zaman almadıkları ve başka bir şekilde yeniden öğrenmekten rahatsız olamadıkları için yeni şifrelerini yazdıklarını gördüm.

Şifrelerde değişiklik yapmak için hangi güvenlik avantajı vardır?


14
2017-11-16 00:04


Menşei




Cevaplar:


İşte SANS günlüğünden farklı bir şey:
Şifre kuralları: Onları her 25 yılda bir değiştirin

Pratik bir fayda var. Birisi şifrenize sahipse ve tek istedikleri e-postanızı okumak ve fark edilmeden kalırsa, oturum açma sırrınızı değiştirmedikçe, bunu sonsuza kadar yapabilirler. Bu nedenle, düzenli olarak şifre değiştirmek, birilerinin mallarınızla uğraşmasına ve çıkarılmasına yardımcı olmaz, ancak hesabınıza erişebileceğin herhangi bir stalker veya snooperden kurtulma şansı verir. Evet bu iyi. Ancak bu yararın tek başına değip değmediği ve kullanıcıların her 90 günde bir şifresini değiştirmeye zorlamanın dezavantajlarından bahsetmek, şüphelerim var.


8
2017-11-16 00:52



Ve bu makale bir anahtar noktayı özlüyor - şifre değişikliği gerekmeden herkesin şifresini bilen herkesin haberi var. İç tehditler dışsaldan çok daha yüksek bir risktir. - Doug Luxem
@DLux, Neden kullanıcıların şifrelerini asla değiştirmeyeceğini düşünüyorsunuz? Zaman geliştikçe, insanlar kaynaklarını kendi içlerinde gördükleri değeri temel alarak (idari yaptırımlarla değil) güvence altına almayı öğrenmelidirler. Önceden zorunlu olarak zorlanan bir kullanıcı, değişiklikten sonra aynı şifreyi elde etmenin bir yolunu arama (ve bulma) olasılığı yüksektir. Parolayı yalnızca istedikleri zaman değiştirecekler. - nik
Kullanıcıların parolalarını birbirleriyle paylaşacakları bir gerçektir. Ara sıra değişiklik yapılması, bu paylaşım için yeterli bir engel oluşturur (yani bildikleri paylaşılan şifreler çalışmayı durdurur). Kullanıcılarınızın şifreleri paylaşmadığını düşünüyorsanız, muhtemelen bunları yeterince iyi bilmiyorsunuzdur. - Doug Luxem
@DLux, parolalar paylaşıldığında, bilme insanlarından birinin, bunu yapmak zorunda kaldığında ve muhtemelen önceden tanımlanmış bir modelde parola değiştireceğini gözlemlemek için onları yeterince iyi biliyorum. İnsan aklının Sosyal Mühendisliği için hesapladığı algoritmaları tasarlamak çok zordur. Gödel türünün içinde bir yerde eksiklik var. - nik


Tahmin ettiğinizde şifre değişikliğini zorlayın (tüm kullanıcılarınızda bir şifre tahmin programı çalıştırarak).

"Neden?" Sorusuna cevap verirken "şifrenizi değiştirmelisiniz" ile tartışmak zor. çünkü "kör olduğunu tahmin edebildik". Parolaları tahmin etmek için zor seçenleri otomatik olarak ödüllendirir ve kullanıcılarınıza hangi parolaların zayıf olduğunu öğretir. "Şifre1" seçtikleri takdirde, bir kez giriş yapabilmeleri için zaman aşımına uğrayacaklardır. Bir kullanıcı 16 karakter, rasgele, karışık vaka, alfanümerik şifre seçerse, bunu asla tahmin edemezsiniz - ve başka biri de olmayacaktır. Onu çok uzun bir süre tutalım, ve hatta onu ezberleyebilecekler.


11
2017-11-16 01:31



O parlak ... bu. Kötü ama parlak. - acolyte


Bu bir ticaret. Sık sık parola değişiklikleri gerektiren daha düşük kalitede parolalara neden olur. Bu etki için bile araştırmalar var.

Bununla birlikte, kullanıcıların şifreleri paylaşmalarını engellemek için bulduğum tek güvenilir yol, periyodik şifre değişiklikleri gerektirmektir. Deneyimlerim, 90 günün kullanılabilirlik ve güvenlik arasında iyi bir anlaşma olduğunu gösteriyor. Daha uzun giderseniz, insanlar paylaşılan şifrelere güvenmeye başlar - daha erken ve "Kasım09", "December09" ile biter.


6
2017-11-16 00:19





Parolalarda bir değişikliği zorlamakla ilgili en kötü şey, aslında insanların parolalarını değiştirmelerine neden olmanız değildir. Bu, genellikle çok az uyarı ile geliyor ya da hemen hemen hiç bir sorunla uğraşmak zorunda kalıyorlar. Bu yüzden, iyi bir şifreyi düşünmek için zaman vermek yerine, daha az güvenli olan bir olma olasılığı daha yüksektir. ama hatırlamak daha kolay, ya da daha güvenli ama sadece yazılır, böylece güvenlik avantajını olumsuz etkiler.


5
2017-11-17 01:05



Standart bir AD durumunda, her oturum açmadan 15 gün önce uyarılırsınız. - MDMarra


Eğer parolalar, kolayca tahmin edilemeyecek kadar karmaşıksa ve sistemler arasında paylaşılmazsa ve bunların tehlikeye girmesi olası değilse, bir parola değiştirmek muhtemelen bu kadar önemli değildir.

Bununla birlikte, bunlardan herhangi biri meydana gelmeli ve ilk ikisi muhtemelen daha yaygındır, insanları düzenli olarak şifreyi değiştirmeye zorlamak, en azından parolaları paylaşma olasılıklarının daha az olduğu anlamına gelir.

Bununla birlikte, kullanıcılarınıza iyi bir şifrenin ne anlama geldiğini ve bunları paylaşmanın neden çok kötü olduğunu konusunda eğitmeyi tercih ederim. Onları yazmak, ne yaparsanız yapın yaygındır.

İnsanların bildiği bir kitaptan bir şifre seçmelerini, ondan çok tanıdık olmayan bir alıntıyı hatırlayarak veya bir cümle oluşturmasını öneriyorum. Her kelimeden ilk harfi kullanın ve bir yere iki sayı ekleyin. Çoğu insan bunu birkaç kez yazdıktan sonra hatırlayabilir.


2
2017-11-16 00:09





Bu uygulamada hiçbir fayda görmüyorum.

Güçlü şifre çok daha önemlidir. Güçlü olarak, ya 9+ alfasayısal + özel semboller, ya da 15+ [a-z] -onraki sözlük olmayan şifre / cümle (Amazon'un EC2'yi kullanarak bruteforcing parolalarının maliyetine ilişkin yeni bir çalışmaya dayanmaktadır).

Uzaktan erişilen sistemlerin, maruz kalan tüm servislerde bruteforce algılama ve önleme yazılımı (ör. Fail2ban) bulunmalıdır. Bu, normal parola değiştirme politikasından daha önemli, IMO'dur.


2
2017-11-16 01:38



Ancak kaba kuvvet saldırısı, saldırganın şifrelenmiş şifrenizin bir kopyasına sahip olduğunu varsayar. Bu gerçekten ne sıklıkla oluyor? - chris
Bir parola dosyasına karşı (ya da söylediğiniz gibi) veya parola kimlik doğrulamasıyla açık bir ağ hizmetine karşı bruteforce saldırısı çalıştırılabilir. şifreleri birini dosyasını almak için hedef sistemde (fiziksel veya uzak ya) erişimin en azından belli bir düzeyde kazanmaya ihtiyacı var ve ben bir yerine çatlama şifreleri bu noktada istismar kullanarak çok canlı (ve verimli) seçeneğini olduğuna inanıyoruz. Sonuç olarak, inanıyorum (ama ispat edemez) birisi şifrelenmiş parolaları bir kopyasını almanın bir şans hedef sisteme yetkisiz erişim sağlamak birisi hemen aynı olduğunu - diğer yaklaşımları kullanarak. - chronos
Şifrelerin gizlenmesi, şifrelenmiş bir şifreye saldırmaktan daha yavaştır. Genellikle şifreli bir şifrem varsa, yönetici seviyesinde erişim veya fiziksel kontrol sahibi oldum. - chris
Ben de söylüyorum :) Ben sadece uzaktan saldırılar ve şifrelerin şifresini çözmek için "bruteforce" kullanıyorum. - chronos


Temel sorun, bir güvenlik mekanizması olarak parolaların kokuşmasıdır.

İnsanlardan sık sık onları değiştirmelerini söylerseniz, bunları yazarlar. En az 3 sayı, 4 büyük harf ve bir kontrol karakteri ile 30 harf şifresini kullanmasını istemeniz halinde, bunları unutur, yazabilir veya başka saçma şeyleri yaparlar. Basitse, kullanıcılar bunny7 veya Bunny7 gibi aptal şifreleri kullanırlar. Ve onların porno hesabı ve hotmail hesabı da dahil olmak üzere her şey için aynı kötü şifreyi kullanırlar.

Gibi araçları severim Mobil OTPkullanıcıların cep telefonlarını iki faktörlü bir kimlik doğrulama aracı olarak kullanmasına izin veriyor.

Uzun vadede, bir şekilde kullanıcı tanımlama mekanizması olarak şifrelenmiş sertifikalarla dünyaya ineceğiz. Gibi şeyler OpenID ve CAS Kullanıcı kimlik doğrulamasını basitleştirin ve uygun tek oturum açmaya izin verin.

Uzun vadede, en iyi bahis, kullanıcıların kimlik bilgilerini vermesi için gereken süreyi azaltmaktır - "İK" şifresinden ve "zaman çizelgesi" şifresinden ve "CRM" şifresinden kurtulun. Kullanıcıların kimlik bilgilerini bir kez yayınlamalarını gerektiren ortak bir kimlik doğrulama altyapısı haline getirin. Ardından MobileOTP veya RSA SecurID iki faktörlü kimlik doğrulaması kullanır.

Kısa vadede, şifre politikaları dini savaşların konusu olacak. Sadece patronunuzun istediği her şeyi yapın ve patron sizseniz, kararınızı kullanıcı tabanınız ve beklenen güvenlik profilinize göre kullanın.

İyi şanslar!


2
2017-11-16 01:51





Tamamen işe yaramaz olmayan bu uygulama, uzun zaman önce çok daha önemliydi. Bu politikayı tartışmak, tersine, çok daha ciddi olan mevcut tehditlere dikkati dağıttığı için, tersidir.

Düşünmek:

  • Windows / AD kullanıyorsanız ve bir hesabın "Hesap hassastır ve yetki verilemiyor" için işaretli değilse, bu hesap kimliğe bürünme yoluyla kullanılabilir ve parola gerekmez. Bunu yapmak için kod önemsizdir.

  • Bir kişinin pencere iş istasyonu bir güvenlik açığından etkilenmezse, bellek içi Windows güvenlik belirteci diğer bilgisayarlara erişmek için kullanılabilir. Yine, şifre gerektirmez.

İkincisi, bu arada, sadece günlük normal kullanıcı hesabınızdan farklı bir hesap kullanarak sunuculara erişmeniz gerektiğidir. Ayrıca, her iki senaryonun da en sağlam iki faktörlü kimlik doğrulama mekanizmalarını bile tamamen ortadan kaldırdığını unutmayın.

Şifre güvenliği ile ilgili olabilecek en iyi şey, tartışmayı durdurmak ve daha güncel ve ciddi tehditlere odaklanmaktır.

Daha fazla bilgi:

Luke Jennings'in sunumu, "Hepsine hükmedecek bir jeton" a bakın:

http://eusecwest.com/esw08/esw08-jennings.pdf

Uykusuzluk Kabuğu - bir ASP.Net sunucusunda belirteçleri şifrelemek için gerekli kod örneği:

http://www.insomniasec.com/releases/tools

Nasıl Yapılır: ASP.NET 2.0'da Protokol Geçişi ve Kısıtlı Yetkilendirme Kullanımı

http://msdn.microsoft.com/en-us/library/ms998355.aspx

"Şifre olmadan" ara.


1
2017-11-17 01:20





Bir şifre ne kadar uzun bir süre değişmezse, tehlikeye girme olasılığı o kadar artacaktır, zira bu durumun tehlikeye girebileceği durumlar için daha fazla fırsat olacaktır (sonsuz bir süre mümkün olduğunda). Ayrıca, kullanıcının eskisine alışmasıyla gelecekte değişmeyi zorlaştırıyor. Bir başka risk ise, tehlikeye düşerse ve kullanıcının gerçekte habersiz olmasından dolayı, kullanıcının hesabının ciddiye alınmasıyla ilgili ciddi bir potansiyelin ortaya çıkmasıdır. Periyodik değişiklikler, en azından zorlanan parola değişikliği, güvenliği ihlal edilmiş parolayı işe yaramaz hale getireceğinden, bunu en aza indirecektir.

Deneyimlerime göre kullanıcıların parolaları yazmasına neden olabilecek senaryo, kendi benzersiz kullanıcı adı ve parola birleştirme gerektiren birden çok farklı sisteme sahip olma gibi, güvenlik altyapınızda birleşik düşünme eksikliğidir. Bir kullanıcıdan 5 tanesini atın ve bir intikamla sarı yapışkan not-sendromu elde edersiniz.

Kullanıcıların parolaları kolayca hatırlayabilmelerine olanak tanıyan, ancak iyi bir kullanıcı eğitimi, bazı katı entegre kimlik doğrulaması ve iyi bir kilitlenme ve son kullanma politikaları ile birlikte parola paylaşımını kolaylaştıran bir AUP tarafından parola paylaşımını yasaklayan makul bir parola ilkesidir. en iyi yol.


0
2017-11-16 01:43



Basitçe mi? lütfen açıkla ! Sistemleriniz sürekli üçüncü parti saldırıya maruz mı? Şifre değişiklikleri yerine bir çeşit IDS olabilir mi? - Tim Williscroft
Asla söylemedim benim Sistemler, ancak, onlar sinsi, hain, berbat bir pislik ve "Gerçek Hayat Son Kullanıcılar" olarak bilinen villany tabi. Kullanıcılar tembel, güvenlik umurunda değiller ("başka birinin problemi") ve her şeyin onlar için mümkün olduğunca kolay olmasını istiyorlar. Her şey bir dengeleme eylemi. - Maximus Minimus


Kimlik bilgilerini önbelleğe alıyorsanız (ki çoğu kişi kullanılabilirlik için yapar) bu bir zorunluluktur. Bir bilgisayar fiziksel olarak çalınmışsa ve kimlik bilgisi önbelleği etkinleştirilmişse, hırsız, hesap kilitleme politikasının etkinleştirilmesinden korkmadan makineyi ağdan kapatmaya zorlayabilir. Daha sonra ağ kaynaklarınıza geçerli referansları vardır. Bu şifreleri düzenli aralıklarla değiştirmek, bu hasarı en aza indirmeye yardımcı olabilir.

Bu, ayrıcalıklı bir hesapla hiçbir zaman oturum açmamanızın tam sebebidir, her zaman sınırlı bir kullanıcı olarak giriş yaparsınız ve bireysel istemleri yükseltirsiniz, bu, hırsızlık / kırılma durumunda ayrıcalıklı kimlik bilgilerinin brute edilmesini engeller.


0
2017-11-17 01:28



Parolaları düzenli olarak değiştirmek, çalınan bilgisayarlarda çok yardımcı olmaz; Eğer kimse onu çalmadan önce parolanın süresinin dolmasına izin vermediğiniz sürece ...: P Sadece en aptal korsanlar, onu kullanmadan önce erişim aldıktan sonra birkaç gün beklerler .... - Stein G. Strindhaug


Asla parola değişikliği gerektirmeyen kampta kaldım. Ya da yazdığı gibi - her 25 yılda bir - evet o zaman öleceğim. İyi. İşte bu yüzden ... İşimde hatırlamak için 12 şifrem var. Çoğu değişiyor ve değişenler tamamen farklı programlarda. Hepsi farklı güç gereksinimlerine sahiptir. Bir zayıf insan bununla nasıl baş edebilir? Gördüğüm birkaç yol: Onları beyaz tahtaya yaz. Onları bir kağıda yazın ve açık olmayan bir çekmecede saklayın. veya tercih ettiğim yöntem: onları oldukça güvensiz bir google doc e-tablosunda saklayın. Bu yöntemlerden herhangi birinin (çok yaygın olan) değişiklik gerektirmesiyle elde edilen herhangi bir küçük güvenlik ödeneğini tamamen telafi etmediğine beni inandırmanın bir yolu yoktur.

Bu yazıyı yazmak için vaktim var, çünkü BT destekli bir kişiyi hesaplarımdan birinin kilidini açmak için bekliyorum. Görünüşe göre elektronik tablomu son kez doğru şekilde güncellemedim. Bu saçmalık için kaybedilen BILLION $$$ hesaplayan bir çalışma var mı?


0
2018-04-03 12:49