Domanda:
Come può essere sicuro aspettare 24 ore per cambiare di nuovo la password?
ZN13
2017-04-03 14:36:26 UTC
view on stackexchange narkive permalink

Quindi sono riuscito a cambiare la mia password su un servizio con la password "sbagliata", per semplicità diciamo solo che l'ho cambiata con una password non sicura.

Ora, volevo cambiarla in una più password sicura ma invece ho ricevuto un bel messaggio di errore:

La password che hai inserito non soddisfa i requisiti minimi di sicurezza.

Il che era interessante, considerando questa nuova password utilizzava più lettere, più numeri e più caratteri speciali dell'ultima password.

Ho fatto alcune ricerche e ho scoperto che il servizio che sto utilizzando ha una regola di sicurezza dove devi aspettare 24 ore prima di cambiare di nuovo la password.

Ho chiesto al mio provider se poteva fare la modifica nella risposta accettata di quel link, ma hanno detto che non potevano farlo e che il L'attesa di 24 ore era "per motivi di sicurezza".

Il che porta alla mia domanda.

Come può essere sicura aspettare 24 ore per cambiare di nuovo la password? Quali sono i pro / contro di far aspettare un utente prima di poter cambiare di nuovo la password?

In generale, sono d'accordo, suona stupido.Ma ogni misura di sicurezza dovrebbe essere una risposta a un modello di minaccia specifico, quindi forse hanno minacce specifiche poste da persone o aggressori che cambiano la password più spesso.Più probabilmente, hanno alcuni sforzi amministrativi e non automatici quando si modifica una password e non * si desidera * cambiarla.Ancora più probabile, è una cattiva pratica che è in qualche modo "storicamente provata !!!!!".Vedi la risposta a https://security.stackexchange.com/questions/139594/why-do-the-large-majority-of-big-organizations-have-known-bad-password-policie/139602#139602
Non vale la pena che il fornitore di servizi abbia aggiornato la propria politica sulla password dopo aver impostato la password originale.Sono stato registrato in molti siti che non mi permettevano più di usare la password che sto utilizzando attualmente solo perché i suoi 6 simboli minuscoli.
"" Puoi cambiare la password solo una volta ogni 24 ore "" è affari per `Gli utenti (si spera) daranno fastidio al nostro helpdesk solo una volta al giorno"
Penso che impedisca a qualcuno di cambiarlo mentre sei a pranzo, di fare un sacco di cose cattive e di cambiarlo prima che tu ritorni senza che tu lo sappia.
@dandavis dovresti inviare la tua risposta come risposta completa di seguito in modo che possiamo votarla.Questo è l'unico scenario non amministrativo e non correlato all'utente fornito finora, e uno scenario molto plausibile.
@dandavis: Ma questo scenario richiede che conoscano la tua password originale, quindi non avrebbero bisogno di cambiarla affatto.
@user2357112: stavo pensando che avrebbe impedito l'invio di determinate notifiche / conferme, ma probabilmente avrebbero visto altri errori sull'essere disconnesso, quindi hai ragione, non è una buona giustificazione.
Ogni volta che sei limitato da un periodo di attesa di 24 ore, c'è un mainframe o un idiota coinvolti da qualche parte nello stack.
Nelle organizzazioni per cui ho lavorato, questo era per impedire alle persone di aggirare i requisiti della cronologia delle password.Se non puoi ripetere le tue ultime 20 password, apparentemente le persone reimposterebbero le loro password più e più volte eseguendo 20 iterazioni e quindi sarebbero in grado di reimpostarle sulla loro password * preferita *.
@music2myear La soluzione più semplice è rendere la cronologia delle password basata sul tempo, non sull'iterazione.cioè "Non puoi riutilizzare nessuna password degli ultimi 6 mesi" invece di "Non puoi riutilizzare nessuna delle tue ultime 20 password".
@dandavis quale vantaggio ottiene un utente malintenzionato dal cambiare la password in primo luogo?Se conosco già la password originale, ho già accesso.Se sto cercando di evitare il rilevamento, la modifica della password danneggia i miei sforzi (cosa succede se provano ad accedere durante, diciamo un po 'noiosa di conversazione all'ora di pranzo?) L'unico vantaggio che vedo nel cambiare la password è se in qualche modo il mio piano malvagio lo farebbeessere danneggiato più dall'essere interrotto che rilevato (ed evitare il rilevamento è solo un obiettivo secondario).
Cinque risposte:
#1
+130
Serge Ballesta
2017-04-03 15:10:37 UTC
view on stackexchange narkive permalink

Di per sé, la regola di consentire solo una modifica della password al giorno non aggiunge alcuna sicurezza. Ma spesso si aggiunge a un'altra regola che dice che la nuova password deve essere diversa dalle n (generalmente 2 o 3) precedenti.

La regola del cambio al giorno è un tentativo di evitare questo banale perversione:

  • un utente deve cambiare la sua password perché ha raggiunto il suo limite di tempo
  • la cambia con una nuova password
  • ripete il cambia immediatamente il numero di password salvate meno una
  • la cambia immediatamente torna a quella originale => evviva, sempre la stessa password che è chiaramente quella che la prima regola stava cercando di impedire ...

Ok, la regola potrebbe essere quella di cambiare la password molte volte in un solo giorno non fa scorrere l'elenco delle ultime password. Ma sfortunatamente il primo è integrato in molti sistemi mentre il secondo non lo è ...

Detto in modo diverso, è solo un tentativo per costringere gli utenti non cooperativi a cambiare la propria password in modo tempestivo.


Solo una banale analisi probabilistica dopo commenti che dicono che consentire agli utenti di non cambiare mai la password non è un problema di sicurezza. Supponi di avere un utente piuttosto serio e che il rischio che la sua password venga compromessa in un giorno è dell'1%. Ipotizzando circa 20 giorni lavorativi al mese, il rischio di essere compromessi in un trimestre è di circa il 50% (1- (1-1 / 100) ^ 60)). E dopo un anno (200 giorni lavorativi) raggiungiamo l'87%! Ok, l'1% può essere alto, e inizia con lo 0,1% al giorno, solo uno su 1000, piuttosto trascurabile non è vero? Ma dopo 1 anno (200 giorni lavorativi) il rischio di inizio compromesso è quasi del 20% (18% per essere onesti). Se è la password per le foto delle vacanze non mi importerebbe, ma per qualcosa di più importante è importante.

Significa che ciò che è essenziale è educare gli utenti e fargli accettare le regole perché sappiamo tutti che le regole possono essere facilmente eluse e che se un utente non è d'accordo con esse non sarà cooperativo. Ma chiedere agli utenti di cambiare regolarmente la propria password è una regola di sicurezza di base, perché le password possono essere compromesse senza che l'utente se ne accorga e l'unico modo per mitigare è cambiare la password (probabilmente compromessa).

Solo un piccolo avvertimento: costringere gli utenti a cambiare le password senza motivo non aggiunge alcuna sicurezza.
@Agent_L: è ammesso che più a lungo viene utilizzata una password, maggiori sono i rischi che venga compromessa, perché ad esempio un collega che ti ascolta volentieri o meno alle spalle.O digitandolo in un prompt sbagliato e facendolo inviare a un'applicazione e loggato lì.O...
No, in realtà si tratta degli stessi rischi presenti dal giorno 0. C'è solo più ** esposizione ** allo stesso rischio.D'altra parte, troppi vincoli costringono gli utenti a inventare algoritmi molto semplici per ricordarli, come Password1, Password2, Password3 o 1 gennaio, 2 febbraio, 3 marzo, quindi i rischi di esposizione ripetuta sono difficilmente mitigati, ma la complessità è persa.
@AgapwIesu: L'utente può sempre inventare un nuovo algoritmo di cambiamento banale che le regole non conoscono, e ** lo faranno **.I criteri di scadenza delle password sono estremamente dannosi.
I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (http://chat.stackexchange.com/rooms/56528/discussion-on-answer-by-serge-ballesta-how-can-waiting-24-hours-to-change-the-pa).
Tieni presente che questa politica può essere applicata facilmente e senza ritardi: ricordare circa 20 ultime password rende questa tattica piuttosto impraticabile.
@DmitryGrigoryev: non devi ricordarli, prendi solo 20 parole diverse nel tuo giornale preferito, usane una alla volta e poi reinserisci la tua password iniziale.Se non è previsto alcun ritardo, dovrebbe essere fatto in pochi minuti.
@SergeBallesta Se l'utente è abbastanza testardo da reimpostare la propria password 20 volte di seguito, provare a costringerlo a migliorare sembra senza speranza.
Il punto @Agent_L's non sembra controverso;ci sono buone ragioni per forzare una modifica della password, ma se non sono applicabili alla tua applicazione, non farlo senza motivo.
@serge-ballesta La tua analisi probabilistica non dimostra che la modifica regolare della password riduce la probabilità di compromissione.
@A.Hersean: Hai ragione.Dimostra solo che una password che non cambia sarà compromessa e che l'aggressore potrà utilizzarla da quel momento.La modifica della password riduce solo la finestra di utilizzabilità della password compromessa da parte dell'aggressore.
Un utente malintenzionato ha davvero bisogno di 6 mesi per sfruttare una password?Questa "soluzione" di costringere gli utenti a cambiare la password non risolve alcun problema di sicurezza.
@A.Hersean L'unico sistema sicuro è un sistema senza tastiera, senza schermo, senza connessione di rete, senza utente e spento all'interno di una cassaforte fisica.Tutto ciò che resta è solo analisi e mitagazione del rischio ...
La matematica nel tuo esempio non funziona.Poiché la probabilità di compromissione è la stessa il giorno 1 del giorno 30, cambiare la password ogni giorno comporterà lo stesso 18% di possibilità di compromissione.L'unico vantaggio che ciò ha è limitare la finestra utile in cui una password potrebbe essere utilizzata dai malintenzionati.
@Ukko: La matematica dice che dopo un anno il rischio che si verifichi una compromissione della password non è più trascurabile.Non è stato modificato durante il periodo, il rischio di compromissione della password attuale è tale valore e continuerà ad aumentare.Se la password è stata modificata ogni mese, il rischio che la password corrente venga compromessa è molto inferiore e scende a 0 dopo ogni ripristino.Non mi preoccupo per la password compromessa se non sono più in uso.Sono d'accordo con te sull'unico vantaggio, ma per me quel vantaggio è importante.
Un sito o un sistema non può non sapere quali altre password puoi utilizzare su altri sistemi / siti, quindi non può controllare se sono o meno diverse.Tuttavia è buona norma utilizzare password diverse per (classi di) siti o sistemi diversi.I vault delle password come Keepass possono aiutare qui ...
@Peter: il mio unico obiettivo è dire che una password mai cambiante ogni giorno utilizzata è una password compromessa solo in pochi mesi o pochi anni.Un'analisi psicologica di come l'utente occasionale gestisce le proprie password va ben oltre questa risposta e le mie capacità ... E no, le mie password non derivano in questo modo.
@Peter: Ora è più chiaro?
@SergeBallesta È più chiaro.Adesso eliminerò i miei commenti
Se il rischio che la sua password venga compromessa in un giorno è dell'1%, quando cambia la sua password (supponendo che la nuova password abbia un'entropia comparabile) anche la nuova password ha lo stesso rischio di essere compromessa, quindi il rischio a lungo termine èlo stesso come se la password non fosse mai cambiata.L'unica cosa che si ottiene forzando una modifica della password ogni pochi mesi è limitare il tempo in cui l'attaccante può utilizzare la password prima che venga modificata.Se può fare il suo danno rapidamente, non farà nemmeno alcuna differenza pratica.
#2
+24
user371366
2017-04-04 13:05:36 UTC
view on stackexchange narkive permalink

Altre risposte hanno coperto i possibili vantaggi in termini di sicurezza, tuttavia mi si presenta uno svantaggio significativo: se un utente malintenzionato prende il controllo di un account e cambia la password, gli viene garantita una finestra di accesso minima di 24 ore, durante la quale l'utente legittimo non può riottenere accedere al proprio account e bloccare l'attaccante.

Peggio ancora, cambiando la password ogni 24 ore, possono continuare a mantenere l'accesso indefinitamente, a meno che l'utente non sia molto fortunato con i tempi.

Questo è un po 'ingenuo.Quando l'utente si rende conto che il proprio account è stato compromesso, chiama semplicemente l'assistenza per bloccare l'account.
@DmitryGrigoryev Contattare l'assistenza clienti per bloccare un account richiede molto più tempo rispetto al riposo della password per riprendere il controllo.E a seconda del provider avranno bisogno di informazioni dall'account che l'attaccante può modificare rendendo più difficile riprendere il controllo.
@JoeW Se un supporto clienti non riesce a bloccare un account di account compromesso entro 24 ore, servono a poco.E se l'aggressore può modificare le informazioni sull'account, si assicurerà che un utente legittimo non sarà in grado di reimpostare semplicemente la password e riprendere il controllo.
@DmitryGrigoryev Meno di 24 ore?Perché dovrebbe essere necessario più tempo di una telefonata per bloccare un account?Il fatto è che un cliente dovrebbe essere in grado di reimpostare la password e riprendere il controllo del proprio account da solo e più rapidamente dovendo chiamare l'assistenza clienti per ottenere aiuto.Dover sedersi al telefono e attendere da 30 minuti a poche ore per riprendere il controllo dell'account non è positivo quando l'attaccante potrebbe causare danni che potrebbero richiedere una notevole quantità di tempo e sforzi per annullare.
@JoeW Non dovrebbe;questo è quello che sto cercando di dire a dn3s.
Senza senso.Se l'aggressore cambia la password, l'utente legittimo non può riottenere l'accesso da solo in un milione di anni, perché non ha la nuova password.L'aggressore ha in ogni caso un accesso indefinito, fino a quando l '_admin_ non cambia la password o blocca l'account.
Spesso l'assistenza clienti è aperta solo in determinati orari.E se scopro che l'account è stato compromesso durante il fine settimana?E se lo scopro la sera dopo l'orario di lavoro?Inoltre, a volte è utile cambiare preventivamente la password in caso di compromissione.E se * sospetto * che la password / l'account possa essere stato compromesso, ma non ne sono certo?È abbastanza facile cambiare la password per ogni evenienza, ma una chiamata all'assistenza clienti (e aspettare al telefono in una coda per raggiungere una persona dal vivo) è una barra più alta da superare.
@DmitryGrigoryev Una cosa di cui sarei curioso è se anche il personale di supporto di basso livello sarebbe in grado di ignorare la finestra;la formulazione della domanda e la risposta collegata suggeriscono che potrebbe essere necessario un po 'di escalation prima di raggiungere qualcuno con l'autorità per farlo.
Per me, i commenti sulla chiamata all'assistenza mi ricordano che non esiste una risposta unica e che lo scenario che ho descritto non è universalmente applicabile.Alcune organizzazioni avranno una base di utenti ridotta o budget di supporto elevati, in cui potrebbe essere preferibile una chiamata di supporto e l'opportunità di documentare la violazione.Altri devono concentrarsi sulla riduzione del carico di supporto.Alcuni modelli di minaccia considereranno le violazioni eccezionali e enfatizzeranno la prevenzione, altri le considereranno routine e enfatizzeranno il ripristino rapido. Ma per impostazione predefinita, la mia reazione istintiva è contro le politiche che impediscono agli utenti di proteggere i propri account.
@iamnotmaynard A meno che non ci sia un pulsante "password dimenticata" accanto al login.Il che mostra solo come le misure di sicurezza interagiscono tra loro.
@Peter Giusto, a meno che l'attaccante non ne sia a conoscenza e abbia modificato l'e-mail e le domande di sicurezza (cosa che mi aspetterei accadrebbe se l'aggressore avesse familiarità con il sistema in cui è entrato).
@iamnotmaynard questo è vero, a patto ovviamente che il sito consenta di cambiare email, cosa che non tutti fanno!(la maggior parte lo fa comunque)
#3
+9
supercat
2017-04-04 02:10:02 UTC
view on stackexchange narkive permalink

Quando qualcosa come una password viene modificata su un sistema distribuito, potrebbe essere necessario un po 'di tempo prima che la modifica abbia effetto. Se più richieste di modifica potessero essere in sospeso contemporaneamente, sarebbe necessaria una maggiore complessità del codice per garantire che siano tutte risolte correttamente, specialmente se le richieste devono includere informazioni sulla vecchia e la nuova password [non necessariamente includendole, ma forse includendone solo forma di "delta"]. Tali problemi non sarebbero insormontabili, ma se fosse accettabile richiedere che qualsiasi modifica della password abbia la possibilità di filtrare attraverso il sistema prima che ne venga emessa un'altra, ciò potrebbe evitare una complessità significativa.

Non scuserei nessun sistema distribuito moderno dal richiedere 24 ore per eseguire la replica, tuttavia ci sono molte applicazioni legacy nel settore finanziario che utilizzano mainframe come backend che eseguono l'elaborazione in batch durante la notte.Dal momento che non possiamo prevedere quando la transazione sarà stata elaborata, chiediamo solo 24 ore per essere al sicuro.
@Johnny: Anche tenendo conto dei sistemi legacy, non mi aspetterei che gli aggiornamenti delle password normalmente impiegherebbero quasi 24 ore, ma alcuni server di database potrebbero a volte essere disattivati per manutenzione, aggiornamenti di sistema o ripristino da errori e le banche potrebbero non voler pubblicizzarequando succederà.
#4
+2
Jibin Philipose
2017-04-03 19:54:29 UTC
view on stackexchange narkive permalink

Penso che sia definito correttamente quando hanno affermato che è per motivi di sicurezza.

Presumibilmente se qualcuno ha violato il tuo account, dovresti ricevere una sorta di notifica che è stato effettuato l'accesso da un nuovo dispositivo o posto di lavoro rilevato. In questi termini, questa funzionalità di sicurezza dipenderà totalmente dal supporto che segue il tuo problema e, se rispondono abbastanza velocemente, otterrai una nuova password modificata secondo le loro politiche di sicurezza in caso di hack.

Ma possiamo anche presumere che non sia la migliore politica, quindi dovrebbero imporre più restrizioni se hanno mantenuto un tempo minimo di 24 ore se si desidera modificare nuovamente la password.

Ma l'OP ha chiesto all'assistenza di cambiare la password e non lo hanno fatto.
C'è una possibilità molto rara che il supporto neghi di aiutare l'OP in caso di hack.Quando l'autenticazione viene eseguita correttamente, non hanno motivo di negare le richieste OP perché le domande di sicurezza e il numero di telefono sono registrati e in alcuni casi anche l'impronta digitale, ecco perché ho anche detto che dovrebbe esserci una politica ancora più rigorosa che definisca tutte quelle restrizioni in terminidi una situazione di emergenza come l'hacking di un account.
@GamerD: Se un account ha un flag di "accesso bloccato" separato dalla password, le difficoltà con l'emissione di una richiesta di modifica della password mentre un'altra è in corso non si applicherebbero alle richieste di blocco dell'account tranne quando un'altra richiesta di blocco o sblocco dell'account era in corso.
Hai perfettamente ragione e si riferisce agli algoritmi in tempo reale che i database moderni impongono, quindi come ho detto le politiche sono una cosa importante da definire e in questo caso l'amministratore di quel database deve intervenire o il supporto tecnico si limiterà a inoltrare ilinterrogare l'amministratore e lui a sua volta uscirà con una soluzione fattibile che sicuramente non permetterà all'hacker di manipolare i flag di accesso o qualsiasi altra scappatoia che l'hacker potrebbe sfruttare.
#5
+2
Ludwig Behm
2017-04-05 11:51:44 UTC
view on stackexchange narkive permalink

Aggiungiamo un esempio reale del perché questo può essere un buon miglioramento della sicurezza.

Supponiamo che il tuo collega o chiunque abbia scoperto la password del tuo webmailer (ad esempio GMail 7 anni fa, senza 2 fattori). accedere all'interfaccia web per cambiare la password (immagina alcuni motivi) e tramite POP3 alle tue mail. Poiché Google è una rete enorme, ha bisogno di un po 'di tempo perché le vecchie password siano disabilitate per l'accesso POP3. Questo dà all'aggressore la possibilità di reimpostare la tua password ancora e ancora. Anche se riacquisti l'accesso con la funzione di ripristino e ti convalidi con l'accesso alla tua casella di posta sul tuo smartphone o una strategia di ripristino tramite SMS sul tuo smartphone, l'attaccante (che ha ancora accesso alla tua casella di posta tramite POP3 con la vecchia o la sua password) può reimpostare la password.

Con un attacco di questo tipo la vittima non può bloccarti per sempre, perché l'aggressore non può rimuovere una strategia di ripristino come un numero SMS, ma afferma scontrosamente un rischio molto alto.

Questo vettore di attacco è facilmente prevenibile, se è possibile modificare la password solo ogni 24 ore.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...