Ich habe gerade eine E-Mail von einem Lieferanten erhalten, in der er uns darüber informiert, dass wir alle sechs Monate unser Passwort ändern müssen, und bin gespannt, welche Richtlinien zum Ablauf von Passwörtern Menschen verwenden und warum sie sie verwenden.
Antworten:
Es gibt hier eine feine Grenze zwischen nie ändern und zu oft ändern. Es ist oft keine gute Lösung, jahrelang die gleichen Passwörter zu haben, besonders wenn diese öffentlich verfügbar sind. Aber das Erzwingen einer rigiden Politik, diese zu oft zu ändern, hat auch schlimme Nebenwirkungen. An einem Ort, an dem ich gearbeitet habe, mussten alle Benutzer im internen Netzwerk alle 6 Wochen die Passwörter ändern, und das Passwort konnte nicht mit den sechs vorherigen Passwörtern identisch sein. Drei falsche Passwörter haben die Workstation gesperrt und das IT-Personal musste sie entsperren. Dies führte dazu, dass jeder das Passwort auf Post-It-Notizen schrieb, die auf dem Bildschirm hingen oder in seine Schublade gelegt wurden. Albtraum.
Ich würde sagen, dass das Ändern des Passworts alle 6 Monate ausreichend sein sollte. Dies vermeidet die gefürchteten Post-It-Zettel.
Ich würde vorschlagen, ein bisschen Mathematik zu verwenden, das Ihre minimale Kennwortkomplexität, die Geschwindigkeit, mit der ein Angreifer Kennwörter erraten kann, die Anzahl der entsperrten Konten und einige informierte Informationen zu Ihren Risiken berücksichtigt.
Hoffentlich haben Sie eine Art Ratenbegrenzung für das Erraten von Passwörtern. Normalerweise geschieht dies über etwas, das Konten nach einer gewissen Anzahl falscher Kennwörter vorübergehend sperrt.
Und hoffentlich haben Sie einige Anforderungen an die Kennwortkomplexität, sodass "A" und "Kennwort" nicht zulässig sind.
Nehmen wir an, dass Sie nach 30 Kennwortfehlern in 10 Minuten ein Konto für 20 Minuten sperren. Dadurch wird die Rate der Kennwortschätzungen effektiv auf 174 pro Stunde oder 4176 pro Tag begrenzt. Aber nehmen wir an, es ist pro Benutzer.
Angenommen, Sie benötigen Kennwörter mit mehr als 8 Zeichen, die ein oberes, ein unteres und ein numerisches Kennwort enthalten, und Sie führen einige Wörterbuchprüfungen durch, um sicherzustellen, dass diese Kennwörter einigermaßen zufällig sind. Im schlimmsten Fall setzen Ihre Benutzer alle die eine obere und die eine Zahl an die gleiche Stelle, und Ihr Angreifer weiß es, sodass Sie 10 * 26 ^ 7 (80G) mögliche Kennwörter haben. Der beste Fall ist 62 ^ 8 (218T).
Ein Angreifer, der jedes mögliche Passwort ausprobiert, würde im schlimmsten Fall alle innerhalb von 50.000 Jahren treffen und im besten Fall fast 600 Millionen Jahrtausende. Oder anders ausgedrückt: In einem Jahr hätten sie zwischen 1 zu 50.000 und 1 zu 52.000.000.000 erraten. Wenn Sie eine Nutzerbasis von 50.000 haben, ist es fast garantiert, dass sie im schlimmsten Fall ein Konto pro Jahr eröffnen und eine Chance von ungefähr 50% haben, alle 6 Monate ein Konto zu erhalten.
Und wenn Sie keine Geschwindigkeitsbegrenzung hätten und ein Angreifer eine Milliarde Passwörter pro Tag erraten könnte? Eine Chance von 1 zu 600, in einem Jahr ein Konto zu eröffnen, oder eine virtuelle Garantie dafür, dass jedes Jahr etwa 80 von 50.000 Nutzern registriert werden.
Arbeiten Sie an dieser Mathematik und finden Sie heraus, wo Ihr akzeptables Risiko liegt. Und denken Sie daran, je kürzer Sie es einstellen, desto schwieriger wird es für die Benutzer, sich daran zu erinnern, und desto wahrscheinlicher wird es für einen Angreifer vor Ort aufgeschrieben.
Als zusätzlichen Bonus: Wenn jemand Tausende von Passwörtern pro Benutzer und Tag gegen Ihre Systeme versucht, hoffe ich wirklich, dass Sie eine Art Überwachung haben, die dies aufgreift.
EDIT: Vergessen zu erwähnen: Unsere aktuelle Politik ist 90 Tage, aber das hat alles mit Erkenntnissen von fehlgeleiteten Sicherheitsprüfern zu tun und nichts mit der Realität zu tun.
90 Tage scheinen für die meisten Szenarien ausreichend zu sein. Meine größte Sorge ist die Komplexität des Passworts. Mehr als das Zeitfensterproblem beim Erstellen von Post-It-Notizen ist die erzwungene Komplexität. Es ist eine Sache, Wörterbuchwörter und andere zu vermeiden, Sonderzeichen zu haben, aber wenn Sie sagen, dass sich keine Zeichen wiederholen können oder in aufsteigender / absteigender Reihenfolge vorkommen, haben Sie Ihren Benutzern das Leben schwer gemacht. Fügen Sie das zu einem kurzen Kennwortleben hinzu, und Sie haben gerade in mehr Ausgaben begrüßt.
Das Ablaufen des Passworts ist ärgerlich und verringert die Sicherheit.
Der Kennwortablauf schützt vor der Situation, in der ein Angreifer das Kennwort eines Benutzers bereits einmal missbraucht hat, aber nicht über einen Mechanismus verfügt, mit dem er fortlaufend feststellen kann, um welche Art von Kennwort es sich handelt (z. B. Keylogger).
Es macht es jedoch auch schwieriger, sich Kennwörter zu merken, wodurch die Wahrscheinlichkeit steigt, dass Benutzer sie aufschreiben.
Da die Abwehr eines bereits kompromittierten Passworts nicht unbedingt erforderlich ist (wie Sie hoffen), halte ich das Ablaufen des Passworts für sinnlos.
Fordern Sie die Benutzer auf, zunächst ein sicheres Kennwort zu wählen. Ermutigen Sie sie, sich daran zu erinnern, und fordern Sie sie dann nicht auf, es jemals zu ändern, sonst schreiben sie sie überall auf.
Wenn Sie ein Gerät haben, das "hohe bis ultrahohe" Sicherheitsgarantien benötigt, ist es besser, ein Hardware-Token zu verwenden, das Einmalkennwörter generiert, anstatt sich auf das Ablaufen von Kennwörtern zu verlassen.
Der Hauptgewinn für ein Kennwortablaufsystem besteht darin, dass Sie möglicherweise ein Konto deaktiviert haben, wenn der Kontoinhaber die Organisation verlässt, da eine zusätzliche Überprüfung und ein zusätzlicher Saldo für das Konto deaktiviert werden sollten, wenn der Kontoinhaber ein Konto hat Blätter".
Das Erzwingen des Kennwortablaufs führt bestenfalls zu niedergeschriebenen Kennwörtern hoher Qualität und im schlimmsten Fall zu falschen Kennwörtern (an einem früheren Arbeitsplatz, als wir gezwungen waren, den Kennwortablauf zu verwenden, habe ich (im Wesentlichen) prefixJan2003, prefixFeb2003 usw. verwendet on, da meine bevorzugte Methode zum Generieren von Passwörtern (48 zufällige Bits, Base64-codiert) nicht auf "jeden Monat neue Passwörter" skaliert.
Ich denke, wenn Sie 10 verschiedene Sicherheitsexperten diese Frage stellen, erhalten Sie 10 verschiedene Antworten.
Dies hängt stark davon ab, wie kritisch das Asset ist, das durch das Kennwort geschützt wird.
Wenn Sie über ein hochsicheres Asset verfügen, müssen Sie die Kennwortablaufrichtlinie so kurz festlegen, dass kein externer Eindringling Zeit hat, ein Kennwort zu erzwingen. Eine weitere Variable in dieser Situation ist die Komplexität der Kennwörter.
Für Systeme mit niedriger bis mittlerer Sicherheit halte ich eine Ablauffrist von 6 Monaten für sehr fair.
Für eine hohe Sicherheit halte ich einen Monat für besser - und für "ultra" sichere Installationen wären noch kürzere Zeiträume zu erwarten.
Wir erzwingen einen 90-tägigen Ablauf des Kennworts für alle hier (einschließlich uns selbst).
Meistens, weil es einfach Best Practices sind. Die Wahrscheinlichkeit, dass jemand ein "schwaches" Kennwort verwendet, ist größer als ein "stärkeres" Kennwort. Je länger Sie das Kennwort unverändert lassen, umso länger kann es dauern, bis eine unentdeckte Sicherheitsverletzung auftritt.
Wir verfallen jedes Jahr nach Ablauf der Gültigkeitsdauer von Passwörtern und benötigen sichere (vorzugsweise zufällige) Passwörter, die länger als 10 Zeichen sind. Wir führen Wörterbuchangriffe auf die Passwörter von Personen durch, wenn diese diese ändern. Wir behalten vergangene Passwort-Hashes bei, damit Passwörter nicht wiederverwendet werden können. Wir überprüfen auch mögliche Daten im Passwort, wie vatine sagte. ;) Der letzte war mein Zusatz ...
Bei einem früheren Job haben wir versucht, auf Veranlassung eines neuen Netzwerksicherheitsadministrators häufiger abzulaufen - alle zwei Monate. Zwei Wochen nach dem ersten erzwungenen Wechsel führte ich ihn durch unsere Verwaltungsbüros, und wir schauten unter die Tastaturen und Mauspads der Leute. Über 50% von ihnen hatten ein Passwort auf einem Post-It darunter geschrieben. Er war froh, die Politik zu lockern, nachdem wir uns hingesetzt und mit dem Verwaltungspersonal gesprochen hatten - sie waren der Meinung, dass sie nicht lange genug Zeit hatten, um es sich zu merken.
Der Großteil unserer Arbeit besteht heutzutage aus Single Sign-On innerhalb weniger Silos. Campus-Ressourcen (für die meisten Menschen selten verwendet) befinden sich in einem Silo, und dieses Kennwort wird von unserer zentralen IT-Gruppe verwaltet. Abteilungsressourcen (täglich verwendet - Maschinenanmeldung, E-Mail, Website-Bearbeitung, Fotokopierer) sind ein Passwort, das von unserer Gruppe verwaltet wird und ebenfalls jährlich abgelaufen ist. Wenn sich Leute über Frustrationen beschweren, weisen wir darauf hin, dass sie wirklich nur ein Passwort haben, an das sie sich erinnern müssen.
In diesen Tagen erstelle ich eine MD5-Summe für eine zufällige Datei in / var / log und verwende eine Teilmenge davon für meine Passwörter.
Wir hatten vor ein paar Jahren viele Diskussionen darüber, als wir begannen ein Passwort Ablaufrichtlinie. Wir hatten gerade einen kurzen Lauf mit Regenbogentischen gegen den AD-Baum beendet, um zu sehen, wie schlimm es war, und es war ziemlich schrecklich. Eine atemberaubende Anzahl von Benutzern hat ihr "Helpdesk Temp" -Passwort immer noch verwendet, nachdem sie zum Zurücksetzen des Passworts angerufen / vorbeigekommen waren. Etwas Schreckliches wie 30% haben "Passwort" oder eine andere Variante als Passwort verwendet (p @ $$ w0rd, etc). . Das überzeugt das Management , dass dies erforderlich geschehen.
Da wir einen höheren Wert hatten, mussten wir uns bei der Auswahl eines Intervalls mit dem Sommer auseinandersetzen. Viele unserer Fakultäten unterrichten im Sommer nicht, daher musste sich unser Helpdesk auf die Anrufe "Ich habe mein Passwort vergessen" einstellen, da sie alle im September zurückkehren. Ich denke, und ich kann mich irren, dass unser Intervall 6 Monate beträgt, mit Ausnahme des Sommerquartals. Wenn Ihr 6-Monats-Passwort also Mitte August abläuft, wird es nach dem Zufallsprinzip neu programmiert und von Ende September bis Anfang Oktober zurückgesetzt.
Eine bessere Frage ist, wie oft Ihr Dienstprogrammkonto und Ihre Administratorkennwörter rotiert werden. Allzu oft scheinen diese von den Richtlinien zur Kennwortänderung ausgenommen zu werden. Wer möchte all diese Skripte durchgehen, um das Kennwort für das Dienstprogrammkonto zu ändern? Einige Sicherungssysteme erschweren das Ändern von verwendeten Kennwörtern, wodurch das Ändern von Administratorkennwörtern nicht empfohlen wird.
Ein Hauptproblem beim häufigen Ablaufen von Kennwörtern besteht darin, dass die Benutzer Schwierigkeiten haben, sich diese zu merken. In diesem Fall verwenden Benutzer schwache oder ähnliche Kennwörter. Wenn Ihre Richtlinien dies nicht zulassen, schreiben sie die Kennwörter auf, damit sie sich leichter merken können . Sie werden auch mehr Passwortänderungsanforderungen haben, wenn die Leute sie vergessen.
Persönlich hängt es davon ab, wofür das Passwort verwendet wird, aber ich behalte ein Passwort in der Regel nicht länger als 3 Monate, es sei denn, es handelt sich um ein vollständiges Wegwerfkonto. Für risikoreichere Sachen ist jeder Monat oder so gut, und ändern Sie es trotzig, wenn jemand anderes, der es weiß, geht. Da ich in einem kleinen Computer-Support-Unternehmen arbeite, haben wir mehrere Kennwörter, die von vielen Personen gemeinsam verwendet werden. Daher möchten wir diese nicht häufig ändern, da dies zu Störungen führen kann.
Bisher interessante Kommentare. Natürlich, warum ist es immer umstritten, dass das Speichern von Passwörtern in einem Unternehmen ein technisches oder ein nicht-technisches Personalproblem darstellt? Was hat die Fähigkeit eines Menschen, mit Computerhardware / -software umzugehen, mit seiner Fähigkeit zu tun, die Sicherheit ernst zu nehmen? Gibt eine nicht technische Person ihre Kreditkarten- oder Debit-PINs aus? Auch Personen, die Passwörter auf Post-It-Zetteln an ihrem Schreibtisch ablegen, sollten als Kündigungsgrund dienen. Es ist erstaunlich, wie sich das Gedächtnis der Menschen verbessert, wenn sie erkennen, dass Sicherheit wichtig ist und ernst genommen werden muss. Ich sehe es nicht anders, dass die Rolle von Dresscodes und Verhaltensregeln bei der Arbeit. Befolgen Sie die Regeln oder auf Wiedersehen!
Ich denke, dass ein sichereres Passwort viel wichtiger ist, als es häufig zu ändern, aber beides ist definitiv für ein sicheres System notwendig.
Das Argument besagt, dass komplexe Passwörter schwer zu merken sind und dazu führen, dass Mitarbeiter sie aufschreiben. Ich bin davon überzeugt, dass die überwiegende Mehrheit der Angriffe von außen erfolgt und dass es sicherer ist, ein komplexes Kennwort aufzuschreiben und auf Ihren Monitor zu übertragen, als ein einfaches Kennwort zu speichern.
Ich implementiere eine einmalige Pad- und Time-Token-basierte Authentifizierung, also theoretisch jedes Mal, wenn sich der Benutzer anmeldet.
Obwohl dies nicht zum Thema gehört, scheint ein einmaliger Block eine überlegene Lösung zu sein.
Ebenso und im Grunde genommen wird es viel bewirken, sicherzustellen, dass der Benutzer ein sicheres Kennwort erstellt und die Ethik hinter Ihrer Sicherheitsrichtlinie versteht (schreiben Sie es nicht auf, machen Sie es nicht zu Ihrem Geburtstag, geben Sie es niemandem) weiter, als sie einfach zu zwingen, es jedes n-te zeitbasierte Intervall zu ändern.