Il motivo per cui esistono criteri di scadenza delle password è mitigare i problemi che si verificherebbero se un utente malintenzionato acquisisse gli hash delle password del sistema e li violasse. Questi criteri aiutano anche a ridurre al minimo alcuni dei rischi associati alla perdita di backup meno recenti a causa di un utente malintenzionato.

Ad esempio, se un utente malintenzionato dovesse irrompere e acquisire il file della password shadow, potrebbe iniziare a forzare le password in modo bruto senza accedere ulteriormente al sistema. Una volta che conoscono la tua password, possono accedere al sistema e installare le backdoor che vogliono, a meno che tu non abbia cambiato la tua password nel tempo che intercorre tra l'acquisizione del file della password shadow da parte dell'aggressore e quando sono in grado di forzare l'hash della password. Se l'algoritmo di hash della password è abbastanza sicuro da tenere a bada l'attaccante per 90 giorni, la scadenza della password garantisce che l'attaccante non ottenga nulla di ulteriore valore dal file della password shadow, ad eccezione dell'elenco di account utente già ottenuto.

Mentre gli amministratori competenti proteggeranno l'effettivo file della password shadow, le organizzazioni nel loro insieme tendono ad essere più permissive riguardo ai backup, in particolare ai backup meno recenti. Idealmente, ovviamente, tutti dovrebbero stare attenti al nastro che ha il backup di 6 mesi fa come lo sono con i dati di produzione. In realtà, tuttavia, alcuni nastri più vecchi inevitabilmente vengono smarriti, archiviati in modo errato o altrimenti persi nelle grandi organizzazioni. I criteri di scadenza delle password limitano il danno che viene fatto se un backup precedente viene perso per lo stesso motivo per cui mitiga la compromissione degli hash delle password dal sistema live. Se perdi un backup di 6 mesi, stai crittografando le informazioni sensibili e tutte le password sono scadute da quando è stato eseguito il backup, probabilmente non hai perso altro che l'elenco degli account utente.

Ho già sostenuto che non migliora nulla. Da quel post:

Ovviamente l'attaccante non conosce la tua password a priori, altrimenti l'attacco non sarebbe di forza bruta; quindi l'ipotesi è indipendente dalla tua password. Non sai cosa ha l'attaccante, non ha o testerà il prossimo: tutto quello che sai è che l'attaccante esaurirà tutte le ipotesi possibili con un tempo sufficiente. Quindi la tua password è indipendente dalla distribuzione delle ipotesi.

La tua password e la tua password da parte dell'autore dell'attacco sono indipendenti. La probabilità che la prossima ipotesi dell'attaccante sia corretta è la stessa anche se cambi prima la password. I criteri di scadenza delle password non possono mitigare gli attacchi di forza bruta.

Allora perché applichiamo i criteri di scadenza delle password? In realtà, è un'ottima domanda. Supponiamo che un utente malintenzionato ottenga la tua password.

La finestra di opportunità per sfruttare questa condizione dipende dal tempo per il quale la password è valida, giusto? Sbagliato: non appena l'aggressore ottiene la password, può installare una backdoor, creare un altro account o adottare altre misure per garantire l'accesso continuo. La modifica post facto della password sconfiggerà un utente malintenzionato che non pensa in modo chiaro, ma alla fine dovrebbe essere avviata una risposta più completa.

Quindi le politiche di scadenza della password infastidiscono i nostri utenti e non aiutano nessuno. p>

Prima di rispondere se aiuta o non aiuta, ha senso esaminare scenari specifici. (Questa è spesso una buona idea quando si ha a che fare con misurazioni della sicurezza.)

In quali situazioni una modifica forzata della password mitiga l'impatto?

L'aggressore conosce la password di un utente ma non ha nessuna backdoor. Non vuole essere scoperto, quindi non cambia la password da solo.

Vediamo se questo scenario è probabile:

Come potrebbe aver appreso la password?

• La vittima potrebbe averglielo detto (ad es. un nuovo stagista che dovrebbe iniziare a lavorare prima di ottenere la configurazione del proprio account, un'altra persona che dovrebbe livellare un account in un gioco online
• L'attaccante potrebbe aver guardato la tastiera
• L'aggressore potrebbe aver avuto accesso a un altro database di password in cui l'utente ha utilizzato la stessa password
• Un solo accesso utilizzando un computer di proprietà (preparato) da un utente malintenzionato.

Cosa potrebbe avergli impedito di configurare una backdoor?

• Il servizio in questione potrebbe non fornire un modo per le backdoor, ad esempio un posta in arrivo o applicazioni web comuni
• I privilegi dell'utente potrebbero non avere autorizzazioni sufficienti per installare una backdoor
• L'attaccante potrebbe perdere le conoscenze richieste (nel gioco online Stendhal la maggior parte degli "hack "sono fatti b y fratelli arrabbiati che vogliono solo distruggere un giocattolo)
• L'aggressore potrebbe non essere ancora diventato malvagio. (ad es. un dipendente che verrà licenziato il mese prossimo ma al momento non sospetta nulla).

Perché non utilizzare la scadenza forzata della password?

Può essere molto fastidioso agli utenti facendo sì che aggiungano semplicemente un contatore alla fine. Ciò potrebbe ridurre l'entropia delle password. Secondo la mia esperienza, genera costi di supporto aggiuntivi perché le persone dimenticano la nuova password più spesso del solito. Immagino che ciò sia causato dalla richiesta di modifica della password che li coglie alla sprovvista mentre sono impegnati a pensare a qualcos'altro.

Per concludere

È tutt'altro che un toccasana e ha un impatto negativo sull'usabilità, ma ha senso bilanciarlo con la probabilità e l'impatto di scenari simili a quello descritto sopra.

Uno studio di Microsoft ha concluso che la politica di scadenza della password non aumenta la sicurezza in scenari di vita reale.

Questi articoli sono stati rimossi, ma sono disponibili su Internet Archive:

• Non modificare la password
• Studio: le modifiche frequenti della password sono inutili

Originale: Così a lungo e no grazie per le esternalità: il rifiuto razionale dei consigli sulla sicurezza da parte degli utenti

Abbiamo tutti le nostre opinioni, ma dovremmo anche cercare ricerche effettive sulla questione. Oltre al documento di Cormac Herley di Microsoft sulle password dei siti Web annotate nella risposta di Suma, c'è un documento di ACM CCS 2010: "The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis" (pdf) , scritto da Yinqian Zhang, Fabian Monrose e Michael Reiter. Hanno analizzato un ottimo set di dati e fatto alcune buone analisi su quanto siano realmente efficaci le politiche di scadenza delle password. La loro conclusione? Costringere gli utenti a cambiare la propria password ogni sei mesi non è molto utile:

almeno il 41% delle password può essere interrotto offline dalle password precedenti per gli stessi account in pochi secondi e cinque l'aspettativa di una password online è sufficiente per violare il 17% degli account.

.... le nostre prove suggeriscono che potrebbe essere appropriato eliminare del tutto la scadenza della password, forse come concessione mentre si richiede agli utenti di investire lo sforzo per selezionare una password significativamente più forte di quanto farebbero altrimenti (ad esempio, una passphrase molto più lunga). ....

A più lungo termine, riteniamo che il nostro studio supporti la conclusione che la semplice autenticazione basata su password dovrebbe essere abbandonata completamente

Per la ricerca su come aiutare gli utenti scelgono password più sicure, vedi Criterio consigliato sulla complessità delle password - Sicurezza IT

Le uniche due buone ragioni che ho sentito:

1. Finestra di opportunità : in uno scenario di attacco in linea si dice che si blocchi l'account per 30 minuti dopo 10 tentativi errati (l'impostazione consigliata da Microsoft per ambienti ad alta sicurezza). Senza alcuna scadenza della password, esiste potenzialmente una finestra temporale illimitata per tentare metodi di attacco basati su dizionario, forza bruta e password comuni. La scadenza della password lo limita. In uno scenario offline, in cui non ti rendi conto che le tue password sono state rubate, le password in scadenza forniscono nuovamente all'autore dell'attacco una finestra di tempo limitata per decifrare le password prima che diventino inutili. Ovviamente, come afferma @ graham-lee, hai bisogno di altri controlli in atto per rilevare cose come una back-door

2. Conformità - praticamente ogni regolatore e auditor cercherà la scadenza della password. Compresi PCI-DSS, HIPAA, SOX, Basel II, ecc. Correttamente o erroneamente, questo è il mondo in cui viviamo. Inoltre "nessuno è stato licenziato per aver acquistato la teoria IBM". Se non hai la scadenza della password e altri nel tuo settore sì, se vieni violato, allora non stavi seguendo le "pratiche standard del settore". Ancora più importante, l'alta dirigenza non può dirlo alla stampa, a un regolatore, a un tribunale. Stessa ragione per avere firewall di ispezione completa dello stato, antivirus, IDS anche se ora sono meno efficaci rispetto a 10 anni fa.

Detto questo, come tutti hanno detto, la modifica della password è terribile per l'esperienza utente, specialmente dove non c'è o è limitato il Single Sign-On, può portare al "giorno di cambio password" in cui un utente passa e cambia la password per i suoi 30 sistemi allo stesso di solito incrementando una cifra. Questo chiaramente non è un comportamento desiderato. Il mio consiglio per cambiare questa cultura se è possibile nel tuo ambiente di controllo / regolamentazione è di cambiare la tua politica per rimuovere la scadenza della password con una chiara giustificazione (molto qui). Ottieni l'approvazione dalla governance della sicurezza appropriata e la revisione da parte di audit / regolatore. Quindi vai avanti e cambia i sistemi. In alternativa, utilizza più Single Sign-On e ID federato, idealmente con due fattori, in modo che almeno gli utenti debbano cambiare solo una o alcune password.

Un motivo non menzionato qui è che impedisce a persone che usano la stessa password per tutto di compromettere il tuo sistema se la loro password viene trovata da qualche altra parte. Dopo che alcune password scadono, gli utenti inizieranno a dover fornire password originali, il che significa che quando la loro password preferita viene rubata e tutte le loro e-mail, i siti di social network e gli account personali vengono violati, il tuo sistema sarà ancora al sicuro.

Quanto migliorerà la sicurezza una scadenza delle password?

Questa immagine mostra, per alcuni scenari, la relazione tra il tempo e la probabilità che un attacco di forza bruta su un tipo di password abbia avuto successo , a seconda della modifica regolare della password. Il periodo di tempo assoluto è di minore interesse. Quanto tempo è - o non c'è molta differenza o la vulnerabilità è già piuttosto alta.

Come accennato da altri prima, ci sono diversi scenari in cui cambiare la password potrebbe aiutare:

• a) L'utente A comunica a un collega B la sua password in una situazione speciale. Successivamente B viene licenziato. Ora potrebbe pensare di utilizzare in modo improprio la password di A (il suo account viene cancellato, presumiamo), ma potrebbe essere necessario del tempo (ad esempio, perdere una controversia contro l'azienda in tribunale) prima di iniziare il suo attacco. Qui è molto utile cambiare la password, ma ovviamente non da secret2010 a secret2011.
• b) L'aggressore ha accesso al file shadow ed esegue una forzatura bruta con una certa quantità di potenza della CPU ( o GPU).

Nel caso b), la politica per cambiare la password sembra ragionevole, ma si guadagna solo se il rischio di essere vulnerabili è già molto alto. Lascia che ti spieghi con i numeri:

Supponi che un utente malintenzionato possa provare 250.000 password al secondo Supponiamo che tu dica che la password scade dopo 183 giorni, (circa 6 mesi). La password viene generata da a-zA- Z0-9 che è di 62 segni. Supponiamo che la password sia lunga 8 segni. Controlla quanto è probabile un'irruzione dopo 10 anni, ovvero 20 intervalli di cambio.

Ho scritto un programma, per testare diversi parametri; chiama il programma con

  java PasswordCrackProb 8 62 250000 s 183 20len = 8signs = 62attacchi al giorno = 21600000000 cambiamento dopo giorni = 183 intervalli = 20 giorni = 3660 anni = 10M = 218 340 105584 896 attacchi = 79 056 000 000 000p (crackato) = 0,3620773 senza changep (crackato) = 0,3060774 con cambiamento  

Il risultato significa che è craccato con il 36% di possibilità se la password non è stata modificata e con il 31% se è stata modificata (ma l'aggressore ha un nuovo file shadow). La differenza è significativa, e ancor di più se prendiamo un tempo più lungo, 40 intervalli, come 20 anni:

  p (cracked) = 0,7241546 senza changep (cracked) = 0,5184715 con modifica  

ma mentre il 52% è molto inferiore al 72%, il 52% potrebbe non essere accettabile.
Ma se guardiamo a intervalli più piccoli, la differenza relativa tra modificato e invariato le password diventano sempre più piccole.

  p (cracked) = 0,0905193 senza modifica p (crackata) = 0,0873006 con modifica  

Se presumi di più Potenza della CPU o password più deboli, il tempo di crack si riduce, ovviamente, ma il numero di attacchi al giorno non è molto interessante. Dobbiamo presumere: non possiamo imporre all'utente di cambiare la password su base giornaliera. Quindi alcuni giorni, forse una settimana, sono il minimo. E non abbiamo bisogno di un massimo per più di 20 anni. I sistemi cambiano, le persone cambiano lavoro. Non puoi evitare di cambiare la password dopo 20 anni.

Se l'attaccante ha troppa potenza e forza bruta l'intero spazio dei nomi in un solo giorno, un cambio settimanale non ti aiuterà molto: vince sempre . E se l'attaccante può forzare solo l'1% dello spazio dei nomi (per una determinata lunghezza della password) in 50 anni, non aiuta neanche a cambiare la password: vincerai (quasi) sempre.

Solo in uno scenario intermedio ed equilibrato, la modifica della password potrebbe fare la differenza, ma sai davvero se il malintenzionato ha bisogno di 1, 10 o 100 anni per forzare la tua password?

Ma mantieni in mente: se l'attaccante ha avuto accesso solo una volta al tuo file shadow, che ora è scaduto, il confronto dal mio programma non va bene.

Risposta semplice: oggigiorno non aiuta quasi mai. Le risposte precedenti forniscono i due scenari principali in cui andrà, ma anche in questo caso 90 giorni non sono ancora così utili.

Potrebbe essere peggio: abbiamo passato anni a convincere le persone che 30 giorni erano troppo brevi, ma nel passato giorno in cui rubare il SAM era relativamente facile, la gente era molto preoccupata per un attacco di forza bruta al SAM. Abbiamo convinto molte aziende a concordare un compromesso di 90 giorni, ma sebbene il potere di cracking sia decisamente aumentato, gli hash sono protetti meglio e in genere la maggior parte dei luoghi ora ha almeno alcune regole di complessità delle password in atto, quindi è diventato molto meno importante.

Vorrei solo aggiungere una cosa. Possiamo affrontare questo problema dal punto di vista sociale: resettando la password ogni X giorni diciamo all'utente - Ehi, questo è importante e non dovrebbe essere preso alla leggera!

Come una delle novità nella nuova pubblicazione NIST, chiamata Special Publication 800-63-3:

Niente più scadenza senza motivo. [.. .] Se vogliamo che gli utenti rispettino e scelgano password lunghe e difficili da indovinare, non dovremmo fare in modo che cambino quelle password inutilmente.

Da: https: // nakedsecurity.sophos.com/2016/08/18/nists-new-password-rules-what-you-need-to-know/

La pubblicazione dello stesso NIST può essere trovata qui : https://github.com/usnistgov/800-63-3

Ha alcuni altri consigli che il mondo di infosec ha accettato da tempo: minimo 8 caratteri, lunghezza massima di 64 caratteri o più, nessun suggerimento per la password o domande segrete, consente tutti i caratteri (emoji inclusi) e nessuna regola fastidiosa come "deve contenere un carattere speciale ma non un dollaro o un segno di percentuale".

È ancora una bozza, ma risponde praticamente alla domanda.

Una considerazione importante da tenere in considerazione quando si pone questo problema è che potresti non sapere che il tuo account è già stato violato.

Se la tua password fosse stata compromessa e tu ne fossi a conoscenza, lo faresti ovviamente muoviti immediatamente per cambiarla in ogni caso.

Costringendoti a cambiare la password ogni 90 giorni (o rischiando la sospensione dell'account) gli amministratori mitigano due rischi. Gli utenti / account inattivi saranno disponibili per un periodo di tempo illimitato affinché un utente malintenzionato possa tentare di penetrare con la forza bruta. Che, nel caso in cui tu non sia stato violato, sei costretto a cambiare la tua password a prescindere (bloccando così l'aggressore dal tuo account)

Potrebbe sembrare in qualche modo migliore nel senso che l'istituto imponga di cambiare le password a intervalli periodici. Tuttavia, se l'utente modifica le password nell'intervallo, ma lascia sempre un picchiettio dietro le sue modifiche, non ha senso cambiare le password. È invece una minaccia più seria. L'utente sente di aver cambiato le sue ultime password e si sente al sicuro. e l'attaccante ottiene sempre un indizio sulla password.

-

Il modo migliore è sempre quello di suggerire al fornitore di servizi di implementare un algoritmo migliore e più sicuro, quindi chiedere ai suoi utenti finali per reimpostare la dannata password ogni volta. Se qualcuno è abbastanza uguale, avrà in mente che in questi giorni abbiamo Single Sign On e OpenID, dove le persone preferiscono accedere con un account piuttosto che ricordare password diverse per diversi siti Web.

-Nonostante di tutte le discussioni, si consiglia di cambiare la password frequentemente, ma,

  SULLA TUA LIBERA VOLONTÀ  

Un suggerimento rapido: usa più parole nella tua password (Il più sicuro segnato fino alla data).

La maggior parte dei servizi online (ad esempio le banche) limita il numero di tentativi online per unità di tempo, rendendo inutile un attacco di forza bruta.

Il risultato di una politica di modifica della password è quasi sempre un rischio per la sicurezza. Può assumere la forma di una password PostIt o di password che assumono il formato pass! 1000 , cambiate in pass! 1001 , quindi passa! 1002 e così via.

Ruotiamo le "password pubbliche" (Wi-Fi ospite) per eliminare l'accesso dei dipendenti che nel frattempo hanno lasciato l'azienda .

Accettiamo l'onere della rotazione delle "password individuali" , perché a) partiamo sempre dal presupposto che gli account di tutti i non tecnici siano già stati violati e b) per "chiudere automaticamente" tutti gli account che sono stati dimenticato . Poiché l'accesso " centralizzato imposta nuova password" è l'unico che non dimentichiamo mai di chiudere. ( scadenza a prova di errore di tutte le dipendenze Single Sign-On ) Ciò include anche l'hardware (notebook) che viene consegnato a un nuovo proprietario e potrebbe avere " password salvate ".

( c) Inoltre, consente alle persone di rimanere consapevoli di dove le loro password vengono salvate automaticamente .)

( d) Inoltre, possiamo dire alle persone di "cambiare tutte le tue password", dopo una discutibile perdita di dati. Funziona in modo affidabile solo con i dipendenti che sono stati addestrati al cambio di password .

In breve, la scadenza automatica è una protezione contro le persone che non si comportano come hai chiesto loro di fare .

Per aggiungere a quanto già detto, posso pensare a 2 ulteriori motivi per cui è utile cambiare regolarmente le password:

1) Quando la potenza di calcolo aumenta notevolmente

Dì, in le password a 7 caratteri dei primi anni '90 erano considerate sicure perché i computer non erano abbastanza potenti da poterle forzare.

24 anni dopo i sistemi che hanno ancora la stessa password possono essere forzati con successo.

Alcuni calcoli, considerando che la password è composta da 24 lettere (maiuscole e minuscole), 10 numeri e 10 simboli e la legge di Moore (x2 potenza in più ogni 2 anni):

  possibili combinazioni = (24 + 24 + 10 + 10) ^ 7 = 6.722.988.818.432 tentativi al secondo nel 1990 = 100.000 (ad esempio) tempo richiesto nel 1990 = possibili combinazioni / tentativi al secondo = 2 anni tentativi al secondo nel 2014 = tentativi al secondo nel 1990 * (2 ^ 12 ) = 409.600.000 di tempo richiesto nel 2014 = possibili combinazioni / tentativi al secondo = 4 ore  

Si tratta più di aumentare il passwor minimo richiesto d, ma dovrebbe essere fatto regolarmente e le password brevi dovrebbero essere cambiate.

2) Conformità agli standard ISO / IEC 27001/27002

Da ISO / IEC 27002: 2013, sezione 9.4.3:

Un sistema di gestione delle password dovrebbe:

...

e) imporre modifiche regolari della password e secondo necessità;

3) Conformità allo standard PCI DSS

Da PCI DSS v3, sezione 8.2.4:

8.2.4 Modificare le password / passphrase degli utenti almeno ogni 90 giorni.

8.2.4.a Per un campione di componenti di sistema, ispezionare le impostazioni di configurazione del sistema per verificare che i parametri della password utente siano impostati in modo da richiedere agli utenti di modificare le password almeno ogni 90 giorni.

8.2.4.b Ulteriore procedura di test per i fornitori di servizi: esaminare i processi interni e la documentazione del cliente / utente per verificare che:

• Le password degli utenti non consumatori siano richiesto di cambiare periodicamente; e

• Agli utenti non consumatori viene fornita una guida su quando e in quali circostanze le password devono cambiare.

Password / frasi valide per un lungo periodo Il tempo senza modifiche fornisce agli utenti malintenzionati più tempo per lavorare sulla violazione della password / frase.

Una lettura letterale rigorosa della domanda porta alla risposta: aumenta la sicurezza in modo negativo: tramite post-it o utilizzando numeri crescenti o numeri di turno.

Potrebbe diminuire il rischio di questioni legali derivanti dalla conformità, tuttavia.

Molte risposte indicano già che spesso costringere gli utenti a modificare le proprie password non è utile; Vorrei aggiungere l ' opinione di Bruce Schneier, probabilmente il più famoso esperto di sicurezza.

Fondamentalmente dice che dipende da cosa protegge quella password e da come una password rubata può essere utilizzata. Sembra ovvio, ma non è affatto scontato che tra la password per Facebook e quella per il tuo online banking, sarebbe meglio cambiare la prima. Esatto: ha più senso cambiare la password di Facebook anziché la password della banca. Vediamo perché.

Cambiare regolarmente la password aiuta nel caso in cui qualcuno l'abbia trovata e tu ancora inconsapevole, perché l'attaccante preferisce essere furtivo. A seconda dell'account che hanno violato, ciò potrebbe avere senso o meno.

• In molti casi, se l'aggressore scopre la tua password, farà qualcosa che noterai sicuramente. Ad esempio, se può accedere al tuo conto bancario, trasferirà denaro da esso. Citando Bruce: "In questo caso, non ha molto senso cambiare la password regolarmente, ma è fondamentale cambiarla immediatamente dopo che si è verificata la frode". L'idea è che se nessuno sta rubando denaro dal tuo account, molto probabilmente significa che nessuno ha trovato la tua password (perché dovrebbe aspettare, altrimenti?), Quindi non c'è motivo di cambiarla.

• Invece, qualcuno che ruba la tua password di Facebook potrebbe usarla per spiarti. Ad esempio, tua moglie potrebbe usarla per verificare se hai un amante. In questo caso non noterai l'attacco , perché l'aggressore vuole essere in grado di continuare a spiarti, quindi non pubblicherà nuovi messaggi o altro che potrebbe essere notato. Qui, la modifica regolare della password le impedirebbe di continuare.

Quindi, dati i diversi scenari di attacco, cambiare la password di Facebook è più utile che cambiare la password della tua banca. È abbastanza controintuitivo, ma ha senso.

L'hardware smarrito, smarrito o rubato può anche essere un vettore di attacco che fornisce accesso a password nascoste nella migliore delle ipotesi.

L'utente malintenzionato può rubare uno smartphone e recuperare le password per il WiFi, nella maggior parte dei casi l'account utente generale.

Personalmente non penso che imporre la scadenza della password agli utenti dell'ufficio (o persone che hanno familiarità con l'uso del computer, per non parlare della sicurezza informatica) sia una buona idea nella forma in cui viene fatto in molte organizzazioni. Come è stato notato sopra, il principale difetto di sicurezza in questo caso è che quegli stessi utenti dell'ufficio scrivono semplicemente le loro password su foglietti adesivi e le incollano sui loro schermi o le attaccano sulla scrivania. Oppure, se la persona è leggermente più "avanzata", potrebbe iniziare a utilizzare password come letmeinMONTHYEAR.

Tuttavia, la scadenza periodica della password è una buona cosa, una volta accoppiata con il corretta gestione delle password. Ovviamente la maggior parte delle persone (non esperte) non sarà in grado di ricordare password veramente sicure - qualcosa come v ^ i77u * UNoMTYPGAm $ . Allora cosa dobbiamo fare?

Personalmente uso un gestore di password che tiene traccia di tutte le mie password, tranne una, la password principale. Questo semplifica davvero le cose e le rende molto più sicure (a condizione che la mia password principale sia sicura da sola e io possa ricontarla facilmente per accedere al gestore di password.) Ci sono diversi gestori di password commerciali, che ti farò scoprire e testare per voi stessi. Personalmente utilizzo Lastpass che è gratuito per uso generale ed è sicuro. È disponibile tramite browser web e può essere installato anche come app sul tuo smartphone o tablet. Per quanto riguarda la sicurezza di lasciare che una soluzione di terze parti gestisca tutte le tue password, mi affido al controllo effettuato da Steve Gibson. Puoi guardarne la versione completa qui.

Quando i tuoi utenti sono umani, non necessariamente aumenta la sicurezza.
Consulta il post di FTC " È ora di ripensare alle modifiche obbligatorie della password" del capo tecnologo Lorrie Cranor, sulla base di ricerche su come gli esseri umani utilizzano effettivamente questi sistemi. (Copertura del Washington Post qui.)

Inoltre, come discusso nel blog sulla sicurezza SANS, "Una delle linee guida chiave per cambiare comportamento è [ ] concentrarsi sul minor numero di comportamenti che affrontano il rischio maggiore ". I costi per richiedere la modifica della password sono spesi meglio per insegnare agli utenti a utilizzare password complesse e univoche e / o gestori di password / autenticazione a più fattori. Inoltre, i vantaggi delle modifiche alle password sono diminuiti ora che gli attacchi possono e spesso avvengono molto più rapidamente degli attacchi manuali lunghi, lenti e manuali che le modifiche della password potrebbero aiutare a tagliare.

Tendo a concordare sul fatto che questo è principalmente un requisito guidato dalla conformità con nella migliore delle ipotesi un aumento netto marginale della sicurezza (purtroppo a un costo sostanziale in termini di perdita di disponibilità operativa, a causa di utenti altrimenti legittimi che vengono bloccati dopo 90 giorni, comunicazioni da macchina a macchina non riuscite perché le loro password sono scadute e nessuno le ha aggiornate, chiama l'Help Desk per risolvere i problemi di reimpostazione della password e così via).

Detto questo, ci sono validi motivi per imporre una tale politica (sebbene - queste giustificazioni siano notevolmente ridotte dal periodo di validità relativamente lungo per una particolare password ... dopotutto se un cyber-criminale ottiene la tua password per 90 giorni, ci sono molti danni che lui o lei può fare).

Il vantaggio più grande si ha nel seguente scenario:

1. Vieni violato o altrimenti compromesso, e il criminale informatico scopre il tuo nome utente e password.

2. Capita di essere vicino al periodo di "soglia di modifica" perio d (in genere - la fine del trimestre e non credo che i criminali informatici non lo sappiano).

3. Ti viene richiesto di cambiare la tua "vecchia" password (che sia tu che il criminale informatico, sapete).

4. Seguite la politica aziendale e cambiate la password, il che significa che ora il criminale informatico è di nuovo bloccato. Lui o lei può provare a utilizzare gli stessi metodi di prima, per ottenere l'accesso non autorizzato anche a questa credenziale ... ma farlo potrebbe essere fastidioso e richiedere molto tempo.

Il punto qui è che "cambiare la propria password con qualcosa di nuovo", non è qualcosa che un criminale informatico farà normalmente, perché dal suo punto di vista (a meno che, ovviamente, il dirottamento della password non sia davvero una sorta di negazione -of-Service), la modifica della password e il blocco del legittimo proprietario (originale) fuori dall'account, avviserà immediatamente l'utente legittimo che sta succedendo qualcosa di spiacevole.

Ciò si aggiunge al fatto che i criminali informatici di solito dirottano migliaia di password alla volta; cambiare tutto ciò, in particolare perché potrebbero non avere accesso ai sistemi di back-end impostati per consentire agli utenti legittimi di farlo, può essere un compito oneroso.

Nessuna delle precedenti è stata scritta ignorando il fatto che i criminali informatici di solito creeranno il proprio account privilegiato, nel momento in cui ottengono un accesso non autorizzato al tuo sistema, o hanno lo scopo di ignorare gli altri potenziali punti deboli nel paradigma di "modifica obbligatoria della password di 90 giorni" che è così prevalente questi giorni. Pensa a questa regola come a un elemento (minore) nella tua strategia di difesa a più livelli e vedrai che ha un posto ... ma non è certamente qualcosa su cui dovresti fare affidamento, per tenere fuori i cattivi.

Se vengono utilizzate password ragionevolmente complesse, non lo fa. Le password potrebbero dover essere cambiate regolarmente se alla fine possono essere violate offline se un utente malintenzionato è riuscito a estrarre gli hash dal database. Tuttavia, l'applicazione delle modifiche alle password sembra una forma debole di sicurezza quando gli utenti dovrebbero essere incoraggiati a selezionare password complesse, ad esempio basate su passphrase lunghe.

Senza essere istruiti sulla sicurezza delle password, la maggior parte degli utenti non sceglierà password complesse, quindi il limite di modifica di 90 giorni è progettato per proteggere questi account. Poiché questi utenti non comprendono o non si preoccupano della sicurezza del proprio account, è probabile che scelgano un'altra password debole, possibilmente basata su quella precedente (il che significa che un utente malintenzionato può violare quella vecchia e quindi utilizzare variazioni di quella in un attacco online) . L'uso della politica dei 90 giorni in combinazione con il controllo della somiglianza della nuova password con quella vecchia può essere considerato di aiuto. Le password degli altri utenti saranno più difficili da decifrare, sebbene se un utente malintenzionato dedichi abbastanza tempo questo è del tutto possibile: qualsiasi password con una forza inferiore a 128 bit di entropia significa che ha la possibilità che venga violata alla fine, sebbene a meno che un utente malintenzionato è specificamente interessato a un particolare account, questo ha una probabilità molto bassa che si verifichi.

Una possibile buona ragione per cambiare le password è che gli utenti spesso salveranno le password in luoghi non sicuri. Ad esempio, la funzionalità di completamento automatico del browser potrebbe aver ricordato la password sul computer di un amico. Tuttavia, questo non è né qui né là.

Questo è il motivo per cui è considerato una buona pratica cambiarli ogni tanto. I 90 giorni si rivolgono al minimo comune denominatore. Tutti gli utenti che utilizzano password complesse generate utilizzando un generatore di password avranno il minimo sforzo per cambiare la propria, quindi questa politica non dovrebbe causare problemi significativi. Posso capire che gli utenti con molti account con questa norma saranno infastiditi.

Un altro motivo per cambiare spesso la password è che gli algoritmi di memorizzazione della password come bcrypt e altre funzioni di derivazione delle chiavi hanno un conteggio delle iterazioni, che può essere aumentato per aumentare il fattore di lavoro come Moore La legge prende piede. L'immissione di una nuova password offre l'opportunità di salvare nuovamente l'hash della password con più iterazioni o di aggiornare l'intero algoritmo di hashing man mano che aumenta la sicurezza del sistema. Ad esempio, se il sito originariamente memorizzava password in chiaro, quindi è migrato a SHA-1, quindi SHA-1 con salt e infine bcrypt, l'atto di cambiare la password spesso viene utilizzato come un'opportunità per aggiornare il formato memorizzato per questo utente all'interno del database.

Tieni presente che una modifica della password non è tecnicamente richiesta, solo che molti sistemi riscriveranno la password nella memoria a questo punto, tuttavia potrebbero farlo anche dopo aver effettuato correttamente l'accesso perché la password in chiaro anche essere disponibile a questo punto. Forzare una modifica della password aiuterà in questi casi e ha anche il vantaggio che se ci fossero delle vulnerabilità di fuga di password non scoperte sul sito (ad esempio SQL injection), la password sarà stata cambiata in qualcosa di più sicuro così come il formato di hashing sarà aggiornato. Si noti che forzare una modifica della password non aiuta ad aggiornare gli account inattivi, motivo per cui alcuni standard impongono che gli account inattivi vengano disabilitati dopo un periodo di tempo (ad esempio PCI dopo 90 giorni) - se anche la password è memorizzata in un qualche formato nel DB, si consiglia inoltre di deselezionarlo nel caso in cui l'utente lo abbia riutilizzato altrove e successivamente sia trapelato.