Sollte ich meine Benutzer dazu zwingen, das Passwort alle n Tage / Wochen / Monat zu ändern?

Frage sagt alles. Wir entwerfen ein System, bei dem Sicherheit sehr wichtig ist. Eine der Ideen, die jemand hatte, war, die Benutzer dazu zu zwingen, alle 3 Monate das Passwort zu ändern. Ich gehe davon aus, dass es zwar sicherer ist, weil sich das Passwort häufig ändert, aber unsere Benutzer gezwungen sind, sich immer wieder geänderte Passwörter zu merken, und es einfacher macht, dass sie es irgendwo aufschreiben, um sich zu erinnern.

In der gleichen Idee ist es wirklich gut, Benutzer zu zwingen, ein sehr schwer zu erratendes Passwort zu verwenden. Erzwingen Sie die Verwendung von?% &% Und Kleinbuchstaben in Großbuchstaben. Ich weiß, es ist ziemlich mühsam, ein solches Passwort zu erfinden und es sich dann zu merken.

Andererseits möchten wir nicht, dass jemand 12345 verwendet.

So. Gibt es Whitepapers zu diesem Thema? Gute Übung?

Ich spreche von einer mit PHP erstellten Website. MySQL in einer Lampenumgebung, wenn sich etwas ändert.

Ich denke, dass ich in der Minderheit bin (basierend auf meiner begrenzten Erfahrung mit IT-Abteilungen in Schule und Beruf), aber ich denke, dass verbindliche, zeitbasierte Richtlinien zum Ändern von Passwörtern im besten Fall wertlos und im schlimmsten Fall schädlich sind. Die Leute sind in der Regel sehr schlecht darin, gute Passwörter zu wählen und sie geheim zu halten. Richtlinien zum Ablaufen des Kennworts sollen dies verhindern, indem die Zeit begrenzt wird, in der ein Kennwort geknackt, sozial manipuliert oder gestohlen werden kann. Dies gelingt ihnen in der Praxis jedoch nicht, da sie die Benutzer vor allem dazu zwingen, ihr Kennwort fortlaufend neu zu lernen. Wenn Sie es Benutzern erschweren, ihre Passwörter in den Speicher zu schreiben, wählen viele von ihnen schwächere Passwörter und / oder schreiben ihre Passwörter an einen Ort, an dem neugierige Blicke sie finden können.

Wenn viele Benutzer gezwungen sind, ihr Kennwort regelmäßig zu ändern, wählen sie Kennwörter, die einem sehr erkennbaren Muster folgen, z [base string][digit]. Angenommen, ein Benutzer möchte den Katzennamen Fluffy als Kennwort verwenden. Sie könnten beginnen mit dem Passwort fluffy, dann ändern fluffy1, fluffy2, fluffy3und so weiter. In diesem Fall hilft die Richtlinie der Sicherheit nicht wirklich. Selbst wenn der Benutzer eine sicherere Basiszeichenfolge wählt als fluffyund sein Kennwort sicher gespeichert bleibt, trägt das einzelne Suffix-Zeichen, das sich alle paar Monate ändert, kaum dazu bei, Cracking- oder Social-Engineering-Angriffe abzuschwächen.

Siehe auch: Kennwortablauf als schädlich , ein kurzer Artikel (nicht von mir geschrieben), der meiner Meinung nach eine gute Einführung in diese Probleme bietet.

Meine große Organisation (mehr als 15.000 Benutzer) hat im Herbst 2009 alle 120 Tage "Passwortänderungen" durchgeführt. Dies ist eine enorme Belastung für die IT und eine Verschwendung von Supportressourcen. Jedes Mal, wenn dieses 120-Tage-Fenster sich dreht, müssen Tausende von Benutzern ihr Passwort ändern .... was viele von ihnen entweder falsch machen und ihr Konto sperren .... oder den nächsten Tag vergessen. Unser Helpdesk wird mit Passwortanrufen überschwemmt, obwohl wir versucht haben, so viel wie möglich aus der Selbstbedienung herauszuholen.

Wenn Sie möchten, dass Ihre Benutzer / Kunden Sie hassen ... und Ihre IT-Mitarbeiter an vorderster Front Sie bei jeder Chance, die sie erhalten, in Schach halten ... implementieren Sie Kennwortänderungen.

Richtlinien zum Ändern von Passwörtern sind in manchen IT Manager-Anleitungen ein Kontrollkästchen, das Sie irgendwo buchen können ... und das wurde vor 15 Jahren geschrieben. Niemand in den Gräben, der die Richtlinie tatsächlich umsetzt oder unterstützt, wird Ihnen jemals sagen, dass dies eine gute Idee ist.

Ich habe mich hier für "Passphrasen" anstelle von Passwörtern ausgesprochen ... eine Menge Gutes, das getan hat ... das Licht am Ende des Tunnels war ein entgegenkommender Zug. :)

Eine Passphrase ist eine lange, fast nicht zu erratende Zeichenfolge, die leicht zu merken ist, wie "MyCatIsFromSpainAndICallHimElGato". Oder vielleicht eine Zeile aus einem Gedicht oder Lied.

Wenn du es wirklich schwierig machen willst, mit dem Fall zu brechen, Interpunktion hinzuzufügen, Einsen in ells, Ohs in Nullen, a in @ usw. zu ändern, aber denk dran ... .das ist der Schlüssel. Es gibt sogar Möglichkeiten, sie auszuwählen, damit sie leicht von Ihren Fingern auf die Tastatur gelangen. Sie springen also nicht zwischen den Händen herum oder mit UMSCHALTTASTEN und seltsamen Interpunktionen.

So...

• Verwenden Sie lange Passphrasen.
• Testen Sie sie intern auf Stärke.
• Implementieren Sie "Single Sign-On" in Ihrer gesamten Infrastruktur, sodass Kunden es nur ein- oder zweimal am Tag verwenden müssen.
• Niemals zwingen, es zu ändern.
• Und erziehe, erziehe, erziehe über ihren richtigen Gebrauch.

Matt

EDIT: 24.08.2011 XKCD stimmt zu und sagte es besser als ich.

Meine persönliche Meinung ist, dass es unnötig und sogar kontraproduktiv ist . Ich habe auf meinem Blog rumgespielt, aber das kannst du dir ansehen, wenn du interessiert bist.

Kurz gesagt, es gibt zwei Gründe:

1. Wenn ein Benutzer gezwungen wird, sein Passwort ständig zu ändern, führt dies zu falschen Passwörtern.

Es wird keinen Mangel an anekdotischen Beweisen dafür geben, aber es ist sinnvoll, dass, wenn ich gezwungen bin, mich alle x Tage an etwas Neues zu erinnern, diese Dinge leicht zu merken und wahrscheinlich miteinander verwandt sind.

Benutzer entscheiden sich viel häufiger für "erratbare" Kennwörter wie "Jan2010" oder "Password05", wenn sie wissen, dass sie sich bald ändern müssen. Die Durchsetzung einer strengen Zeichenrichtlinie führt wahrscheinlich nur zu einem Ausrufezeichen oder einem vollständig geschriebenen Namen und nicht zu einer Abkürzung. Es gibt einen großen Unterschied zwischen einem technisch komplexen Passwort und einem, der nicht erraten werden kann.

2. Durch das Erzwingen regelmäßiger Kennwortänderungen werden Angriffe nicht verhindert, sondern nur das Risiko (und nicht viel) verringert.

Denken Sie darüber nach - wenn Ihr Passwort erraten oder auf irgendeine Weise entdeckt wird, wie lange würde ein Angreifer brauchen, um diese Informationen zu verwenden? Versetzen Sie sich in die Lage des Angreifers. Sie haben gerade ein Passwort entdeckt. Würden Sie sich nicht anmelden und sofort alle Informationen extrahieren, die Sie erhalten könnten, falls dies jemand herausfinden sollte? In 30 Tagen haben Sie bereits alles, was Sie wollen.

Meine Empfehlung:

• Erzwingen Sie eine äußerst strenge Kennwortrichtlinie (z. B. 15 Zeichen mit oberen, unteren, Ziffern und Sonderzeichen, ohne englische Wörter> 3 Zeichen).
• Lassen Sie den Benutzer niemals sein Passwort ändern. Wenn sie das Passwort auf ein Blatt Papier schreiben und es in ihrer Brieftasche aufbewahren müssen, ist das in Ordnung. Die Leute sind gut darin, Papierstücke zu sichern, aber nicht so gut darin, sich zufällige Zeichenfolgen zu merken.

Aus der Sicht eines Benutzers ist es unglaublich umständlich, mein Passwort zu ändern. Ich hasse es absolut, dies tun zu müssen, und werde Websites, die ich unbedingt benötige , nur widerwillig verwenden, wenn ich dazu aufgefordert werde, mein Passwort zu ändern.

Es gab auch einige Diskussionen darüber, ob dies wirklich eine gute Praxis ist, da einige Leute ihre Passwörter aufschreiben müssen, um sich an sie zu erinnern.

Sie könnten eines dieser Widgets implementieren, das den Leuten zeigt, wie stark (oder schwach) ihr Passwort ist, während sie es ausfüllen. Ich finde, dass diese (irgendwie) nützlich sind, obwohl ich nicht weiß, ob sie tatsächlich zu einem stärkeren Passwort führen Passwörter.

Als Benutzer einer recht strengen Passwortrichtlinie ("sehr schwer zu erratende Passwörter" und Passwortänderungen gleichermaßen) bin ich der Meinung, dass nur das Hard-Password benötigt wird. Obwohl es ein bisschen dauern wird, bis sich Ihre Benutzer daran gewöhnt haben (insbesondere, wenn es sich um 12345-Benutzer handelt), sollten sie sich innerhalb einer Woche problemlos daran erinnern und es eingeben können.

Ich kann jedoch unangenehme Endbenutzer vorhersagen, wenn Sie über so starke Kennwörter verfügen UND diese zu Änderungen zwingen.

Unter dem Gesichtspunkt der IT-Administration sollten Sie am besten untersuchen, ob Ihre Anwendung die Single-Sign-On-Funktionen des vorhandenen Authentifizierungsschemas verwenden kann, das Ihre Kunden verwenden. Offensichtlich spielt Active Directory eine große Rolle, aber wenn Ihre Anwendung mit den Richtlinien funktioniert, die die IT vor Ort bereits konfiguriert hat, müssen Sie sich keine Gedanken über die Neuerfindung des Rads machen.

Da so viele Debatten darüber aufkamen, ob erzwungene Passwortänderungen eine gute Idee sind oder nicht (obwohl ich denke, dass dies Ihrer Hauptfrage zweitrangig war), dachte ich, dass Ihnen einige der Ideen und Links hier gefallen könnten . In den meisten Situationen, in denen Sie die Komplexität und den Zeitplan von Kennwörtern nicht durchsetzen, verfügen Sie möglicherweise auch über keinerlei Kennwörter. Die Art und Weise der Implementierung (Schulung, Managementunterstützung usw.) ist jedoch wichtiger, als ich betonen kann.

Das Ändern von Passwörtern kann dazu führen, dass der Benutzer sie notiert. Das ist laut Bruce Schneier keine so schlechte Idee ( http://www.schneier.com/blog/archives/2005/06/write_down_your.html ).

Ich würde sogar argumentieren, dass es manchmal eine gute Sache sein kann, wenn die Sicherheit die Benutzerfreundlichkeit beeinträchtigt, nur weil es den Benutzer daran erinnert, sicher zu handeln. In der Bank, in der ich arbeite, sind viele der vorhandenen Sicherheitsmaßnahmen Sicherheitstheater (z. B. Gesichtserkennung an der Tür, aber der Sicherheitsbeamte öffnet die Tür für Sie, wenn die Erkennung fehlschlägt). Obwohl diese Maßnahmen die Sicherheit nicht von sich aus verbessern, sind sie immer da, um uns daran zu erinnern, dass Sicherheit ein wichtiges Anliegen bei der Arbeit ist, dass ein gewisses Maß an Protokollierung und Überprüfung stattfindet und dass Sie ertappt werden, wenn Sie etwas "unsicheres" tun wird in Schwierigkeiten sein.

Dies gilt natürlich für die Sicherheit der Mitarbeiter einer Bank und möglicherweise nicht für die Benutzer Ihrer Website.

Sie sollten Ihre Benutzer zwingen, sich alle n Tage zu ändern, wenn Ihre Sicherheitsrichtlinie dies erfordert. Ich arbeite für eine staatliche Agentur, und dies ist eine Anforderung, die vom Büro des staatlichen Rechnungsprüfers durchgesetzt wird. Ich kann nichts dagegen tun, also muss ich Änderungen erzwingen.

Wenn Sie nicht durch Vorschriften dazu verpflichtet sind, Kennwortänderungen zu erzwingen, erzwingen Sie sie nicht. Stellen Sie sicher, dass die Kennwörter, die festgelegt werden, bestimmte Mindestanforderungen an die Komplexität erfüllen. Die Länge übertrifft die Komplexität bei den meisten Passwortsystemen, daher ist ein variabler Standard meiner Meinung nach der beste Fall. Sowie:

• Kein Passwort darf weniger als 10 Zeichen lang sein.
• Passwörter zwischen 10 und 25 Zeichen erfordern mindestens 3 Zeichensätze.
• Passwörter zwischen 25 und 40 Zeichen erfordern mindestens 2 Zeichensätze.
• Kennwörter mit mehr als 40 Zeichen können einen einzelnen Zeichensatz verwenden.

Die integrierten Komplexitätsschemata für Dinge wie Active Directory unterstützen diese Art von gestuften Systemen nicht. Wenn Sie Ihre eigene Umgebung zum Ändern von Passwörtern erstellen, können Sie solche Dinge tun. Da jede Verwendung der Umschalttaste die Wahrscheinlichkeit eines Fat-Finger-Ereignisses erhöht, kommt es bei langen Kennwörtern mit mehreren Zeichensätzen VIEL häufiger zu Ereignissen mit fehlgeschlagener Anmeldung, insbesondere während der Lernphase. Wenn Sie ein System zur Kontosperrung haben, kann dies ein großes Problem sein. Für die Person, die die 3. Zeile ihres Lieblingsgedichts (63 Zeichen!) Als Passphrase verwendet und nicht h @ x0r muss, ist die Eingabe schnell und effizient.

Sollte sich die Technologie oder das Risiko erheblich ändern und Ihre Passwörter sind jetzt nicht mehr so ​​komplex wie sie sein sollten, stellen Sie sicher, dass Passwörter über einen bestimmten Zeitraum hinweg verfallen. Die Leute werden über die Notwendigkeit meckern, besonders wenn Sie noch nie eine Änderung erzwungen haben, aber es wird Ihnen helfen, Ihre Sicherheitslage aufrechtzuerhalten.

Schwer zu erratende Passwörter sind eine gute Sache. Das Erzwingen von Komplexitätsstufen, die dazu führen, dass Benutzer ihre Kennwörter vergessen oder aufschreiben müssen, ist eine schlechte Sache, da die durch die Komplexität gewonnene Sicherheit dabei vollständig verloren geht. In einer idealen Welt (in der wir leider nicht leben) sollte es einen Kompromiss zwischen Komplexität und Benutzerfreundlichkeit geben. Natürlich werden verschiedene Menschen diesen Gleichgewichtspunkt an verschiedenen Orten sehen.

Die Logik hinter dem regelmäßigen Ändern von Passwörtern in X Tagen ist für mich ein wenig verloren. Der Grund, warum ich dies normalerweise höre, ist, die Nützlichkeit eines gestohlenen Passworts zu begrenzen, worauf ich antworte, dass ein realer Schaden mit ziemlicher Sicherheit sowieso innerhalb der ersten Stunden verursacht wird. zB Fred "macht sich mit" Marys Passwort "bekannt. Welchen Unterschied macht es, wenn das Kennwort morgen oder nächsten Monat geändert wird, es sei denn, Mary ändert es fast gleichzeitig? Ist es wirklich wahrscheinlich, dass Fred noch ein oder zwei Wochen warten wird, bevor er das Passwort verwendet (vorausgesetzt, das war die ganze Zeit die Absicht)?

Das offensichtliche Ändern von Passwörtern, wenn ein Grund oder der Verdacht besteht, dass dies erforderlich sein könnte, ist eine ganz andere Sache.

Wenn die Anwendung ein so hohes Maß an Sicherheit benötigt, haben Sie überlegt, so etwas wie SecurID-Token zu verwenden? Dies bedeutet, dass der Benutzer alle 60 Sekunden ein neues Passwort erhält. Sie müssen sich keine Sorgen machen, wenn Sie Passwörter aufschreiben. Diese kosten jedoch Geld. Wie sicher muss die Lösung sein?

Ich denke, dass Informationen für die Benutzer wichtig sind. Erklären Sie ihnen, wie sie ein Kennwort erstellen und wie wichtig es ist, dass nicht zweimal dasselbe Kennwort verwendet wird. Ein einfacher Weg, um ein Passwort zu erstellen, besteht darin, einen Satz und den ersten Buchstaben in jedem Wort zu nehmen und einige Zahlen hinzuzufügen.

Ex. Ich regiere gerne die Welt = Iltrw99

Zwingen Sie sie nicht, das Passwort zu ändern, da dies sie nur verwirren wird.

Ich bin zwar nicht damit einverstanden, dass Passwörter alle drei Monate geändert werden, aber dies ist eine Voraussetzung, wenn Ihr Unternehmen an der Börse gehandelt wird und Teil der SOX-Konformität ist. Randnotiz: Sarbanes-Oxley saugt.

Was ich nicht erwähnt habe, ist der externe Zugriff auf Ressourcen.

Ich stimme eher zu, dass, wenn Sie eine vernünftige Kennwortrichtlinie wählen, niemand dieses Kennwort erraten kann, es sei denn, jemand schreibt es auf.

Angenommen, Sie haben Webmail-Zugriff außerhalb der Website. Jetzt können Benutzer ihre Anmeldeinformationen auf "jedem alten PC" und IMO eingeben, was das Risiko für Ihre Geschäftsdaten erhöht, das durch Spyware / Malware / Trojaner usw. verursacht wird, die diese Kennwörter möglicherweise abfangen / stehlen .

Wenn Leute einfache Passwörter aufschreiben, denken Sie dann, dass sie keine große Passphrase oder ein sehr kompliziertes Passwort aufschreiben. Inkrementelle Kennwortänderungen führen dazu, dass Benutzer-IDs gelöscht werden, die nicht mehr automatisch verwendet werden, und der einzelne Benutzer kann diesbezüglich eine gewisse Verantwortung übernehmen. Menschen werden Menschen sein, die nach einem einfachen Weg suchen, um etwas zu erreichen. wiederholte Passwörter und inkrementell geänderte Passwörter können erkannt und abgelehnt werden. Komplexitätsanforderungen können durchgesetzt werden, erzwungene Kennwortänderungen können auch die Augen von Nicht-IT-Benutzern für ihre Verantwortung öffnen. Die meisten Benutzer, die sich über die Passwortänderung beschweren, sind die Faulen, die so tun, als ob sie ihr Passwort ändern, was einer Operation am offenen Herzen gleicht. Hör auf zu jammern, sei verantwortlich und versuche nicht länger, eine einfache Straße zu finden.