Se un utente malintenzionato ha scoperto la tua password, può accedere al sistema finché non la modifichi. La modifica delle password spesso impedisce agli aggressori che hanno già la tua password di accedere senza essere rilevati a tempo indeterminato.

Ora, se la tua password è secret-may16 e l'attaccante viene bloccato quando cambi la password , sicuramente proverà secret-june16 come password. Quindi cambiare la password in modo prevedibile non è sicuro.

Non dovresti utilizzare questo schema, perché una volta che questa password è nota a un utente malintenzionato, può derivare le password "successive".

Questo potrebbe essere il caso in questi situazioni:

• La password è condivisa tra te e altre persone fidate, e un giorno decidi di non fidarti più (di uno di) di loro. In questo caso, potrebbero facilmente indovinare le password successive.
• Un utente malintenzionato si impossessa della password. Una volta risolto il problema (il che potrebbe richiedere del tempo) può quindi indovinare le derivazioni della password.

Usando queste "password numerate", si distrugge il (piccolo) vantaggio di password regolarmente.

Domanda correlata: In che modo cambiare la password ogni 90 giorni aumenta la sicurezza?

Cambiare solo una parte della password è [citazione necessaria] molto comune e una pessima pratica.

L'entropia è una misura di quanto qualcosa sia sconosciuto. per la prima volta scegliete una password con inizio fisso casuale o una password completamente nuova, entrambe con la stessa quantità di entropia, entrambe le alternative saranno equivalenti. Ok.

Per il tempo necessario a cambiare la password, se sei completamente sicuro che nessuna password precedente verrà scoperta, sei anche bravo. Perché qualcosa che non è noto manterrà la stessa quantità di entropia.

Ma ... e c'è sempre un ma ... cosa succede se una password precedente viene recuperata? O due?

Ciò può accadere con siti / sistemi che memorizzano le password precedenti in testo normale. Può anche accadere con siti / sistemi che memorizzano le password precedenti come hash.

Perché il testo in chiaro, beh, mostrerà facilmente che la tua password precedente era IamGod_april16. E qualcuno proverà a usare IamGod_may16 ... Basta cambiare una parte, in qualche modo prevedibile, esporrà facilmente la tua nuova password.

Anche se è stata memorizzata come hash: sarà più difficile se eseguita correttamente, ma cosa succede se qualcuno frena l'hash e scopre qual era la tua password? Quindi potrà provare IamGod_december18, e se non hai cambiato il tuo schema in futuro ... bang! È stato colpito a causa di una fuga di notizie avvenuta 2 anni prima.

Vedi che non importa se la parte "IamGod_" è casuale, è leggibile dall'uomo o qualsiasi altra cosa: ciò che ti prende a calci è quella parte di if possono trapelare alcune informazioni: il mese, il numero, la lettera alla fine ... anche se il tuo schema fosse "IamGodh", qualcuno potrebbe provare "IamGodi", "IamGodj" e così via.

Quindi, la prima parte della risposta alla tua domanda specifica se lo schema (b) è inferiore, uguale o più sicuro di (a): non è più sicuro. Perché se usi solo un numero che cambia, cambia mese, cambia lettera ... alla fine, è molto facile provare nuove combinazioni, sia offline che in qualche sistema online.

E c'è la seconda parte: anche se si crea uno schema molto buono, e la parte che cambia è nel mezzo della password ... cosa succede se qualcuno recupera 2 o più vecchie password? E scopre che erano "3VQ2NMkK", "3VQ3NMkK" e "3VQ4NMkK"? Bene, riesci a vedere qualche schema?

Quindi, (a) e (b) possono anche essere ugualmente sicuri se il tuo schema non viene rilevato. Ma è un forte presupposto che si possa escogitare un buon schema, quindi, in generale, è molto lecito presumere che (b) sarà meno sicuro, per qualsiasi tipo di sistema.

Naturalmente, ciò presuppone che il sistema si guasta in qualche modo: che il database è trapelato perché qualcuno invade un sito, o perché alcune persone interne copia il database, o qualcuno perde il nastro di backup, o la fanciulla esegue un attacco man-in-the-middle all'interno dell'azienda , o perché qualche aggiornamento nel sito ha fatto trapelare la password, o perché l'attacco heartbleed ha rivelato alcune password, o perché l'azienda ha lasciato che un vecchio computer fosse disponibile nella rete, oppure ...

Dato che quelli le situazioni (e molte altre) sono al di fuori del tuo controllo, il consiglio è di scegliere il lato sicuro: non dare per scontato che le vecchie password non vengano trapelate.

Mantenere uno schema specifico non è mai una buona idea, anche se gli ambienti aziendali richiedono frequenti aggiornamenti / modifiche delle password. Ad esempio, se, come nel tuo esempio, qualcuno ha mantenuto gli stessi caratteri di base e ha cambiato la password solo di un singolo intero, qualcuno che impara una vecchia password potrebbe utilizzare lo schema per prevedere i cambiamenti. Prendiamo ad esempio lo strumento chiamato "crunch". Utilizzando l'esempio fornito, tutte le possibili permutazioni dello schema potrebbero essere generate e utilizzate in un attacco con dizionario.

  #! / Bin / bashcrunch 9 9 0123456789 -t awefjio @@ Crunch ora genererà la seguente quantità di dati: 1000 bytes0 MB0 GB0 TB0 PBCrunch ora genererà il seguente numero di righe: 100 awefjio00awefjio01awefjio02awefjio03awefjio04awefjio05awefjio06awefjio07awefjio08awefjio09awefjio10 > e poi  Mantenere un modello di password prevedibile rende molto facile l'hacking nei forum di accesso ai siti Web protetti da credenziali. È buona norma creare una password unica e completamente nuova ogni volta. Un'altra cosa che rappresenta una minaccia è la fase di raccolta delle informazioni dell'hacking. Più un hacker impara a conoscere le abitudini, i gusti, le antipatie, gli hobby, i nomi di famiglia, le date di nascita, le date di eventi speciali della vita di un bersaglio, ecc., Più dovrà andare avanti con la creazione di un dizionario / elenco di parole per crackare un accesso.  
 Quindi, per rispondere alla tua domanda, no, non è mai, in nessuna circostanza, una buona pratica usare semplici incrementi di numeri interi con le modifiche della password, 

Sì, lo è.

Richiedere agli utenti di cambiare regolarmente le password è un sistema di sicurezza controproducente (vedi articolo CESG) poiché costringe gli utenti a scrivere Le password. Se un utente malintenzionato è riuscito a ottenere una password, potrebbe avere diverse settimane per installare backdoor o eliminare comunque gigabyte di dati dal sistema prima che la password venga modificata.

L'uso di un semplice schema di numerazione consente di scegliere una password che puoi ricordare senza scriverla, quindi puoi giocare con il sistema per consentirti di continuare a utilizzare la tua password memorizzabile per un tempo indefinito.

Se la tua password esistente è n bit di entropia, allora continuerà ad avere la stessa quantità di entropia di qualsiasi altra password di n bit di entropia. Cambiare continuamente le password non cambia questo. L'aggiunta di una singola cifra alla fine aggiunge circa 2,3 bit ( ln (10) bit). Ma anche se il tuo schema di numerazione è così facilmente indovinabile da non aggiungere entropia, hai ancora i n bit con cui hai iniziato.

Se l'algoritmo di hashing utilizzato è buono, allora una password a passerà a quella che sembra essere una stringa casuale. Un'altra password b darà quella che sembra essere una stringa completamente diversa (tranne nel caso straordinariamente raro di una collisione di hash). Non dovrebbe esserci alcun modo, guardando i due hash, per determinare se le due password sono completamente diverse o variano di un solo carattere (forse una cifra alla fine). Se è possibile sapere se è cambiato solo un carattere, il tuo algoritmo di hashing è rotto e ne hai bisogno di uno migliore.

Lo stesso argomento vale per qualsiasi sistema di crittografia utilizzato per trasferire le password da un client a un ospite. Se due password simili forniscono messaggi crittografati simili, la crittografia è già inutile.

Nel tuo caso, la sicurezza dello schema di sequenziamento è diminuita principalmente a causa di fattori non crittografici. Considera il surf sulle spalle. Se digiti la stessa password, giorno dopo giorno, anno dopo anno, i tuoi colleghi o altri osservatori potrebbero notare gli schemi. È possibile digitare la stessa password in luoghi diversi con diversi livelli di sicurezza fisica, come un caffè, dove una normale telecamera potrebbe rilevare la password.

Considera il caso in cui l'attaccante non utilizza la conoscenza nello stesso momento in cui la apprende. Potrei essere un collega che ha osservato per sbaglio la tua password l'anno scorso, ma quest'anno siamo acerrimi rivali per lo stesso account. Sapere che una delle tue vecchie password era qwerty1007 e un'altra era qwerty1011 significa che avrò successo con alcune ipotesi piuttosto semplici.

Utilizzando uno schema, aumenti il ​​rischio di perdita per un periodo di tempo più lungo.

[La tua proposta somiglia superficialmente a uno schema comune utilizzato dai sistemi di autenticazione a due fattori. Un utente deve inserire una password memorizzata, inoltre deve inserire un codice visualizzato sul proprio dispositivo hardware.

Ma il motivo per cui è sicuro non è che la sicurezza è notevolmente migliorata dalla dimensione del codice dal token; è che il sistema limiterà il numero di tentativi errati di password + codice a un numero finito, quindi bloccherà l'ID utente. ]

Vorrei elaborare in qualche modo la spiegazione fornita da Sjoerd e affrontarla da una prospettiva leggermente diversa.

Per prima cosa si dovrebbe chiedere quale obiettivo di sicurezza viene raggiunto dal cambio programmato (anziché reattivo) delle password ? Perché la tua divisione di sicurezza o il documento di best practice ti obbliga a cambiare una password ogni due mesi?

Ci sono un paio di ragioni:

1. per complicare la forza bruta attacchi

   Quando qualcuno ottiene l'accesso all'hash della tua password, è probabile che ci vorrà un bel po 'di tempo prima che riesca a infrangerlo. Se la quantità di tempo per eseguire un attacco di forza bruta è più lunga del periodo di validità della password, non possono effettivamente trarre profitto dall'ottenere la password poiché l'hai già modificata

2. Per limitare la quantità di tempo in cui una password compromessa può essere utile

   Le persone non sempre scoprono che la loro password è stata compromessa. Una modifica regolare della password garantisce che la password non consenta all'aggressore di entrare per sempre. (Ovviamente in alcuni casi quando si trovano in una volta sono sempre a causa di malware, apt è quello che hai, ma questo non è sempre il caso.) Questo si prende cura anche delle situazioni in cui l'attaccante scopre il compromesso solo in ritardo a causa di alcune circostanze.

3. Per limitare leggermente il riutilizzo delle password

   Le persone spesso riutilizzano le proprie password in più sistemi (lavorativi e privati). La maggior parte dei sistemi privati ​​(gmail, quella pagina web di registrazione del centro sportivo ecc.) Non impone modifiche regolari della password, quindi è probabile che anche se l'utente inizia con la stessa password ovunque, le modifiche alla password gli faranno differenziare.

4. Per eseguire il binding pass gli attacchi hash

   Se un utente malintenzionato ottiene solo l'accesso all'hash della tua password, può spesso usare quell'hash per autenticarsi contro i sistemi se abbastanza sofisticato. La modifica della password sottostante cambierà l'hash e quindi fermerà nuovamente l'attaccante.

Ora possiamo chiederci come si collocano i due schemi che proponi rispetto agli obiettivi che abbiamo delineato. In ogni caso in cui l'attaccante ottiene l'accesso al testo in chiaro della tua password (certamente 1,2) il primo schema (incrementale) è molto più debole del secondo. Qualsiasi aggressore non cerebralmente morto proverà l'incremento. Nella terza situazione è un po 'più complicato giudicare poiché dipende dal fatto che la password sul servizio esterno contenga il contatore e in generale quale sia il reale impatto del regolamento. Per il quarto obiettivo l'incremento è praticamente alla pari con il secondo schema assumendo che la funzione hash utilizzata si comporti abbastanza da vicino come un oracolo casuale.

Tutti insieme semplicemente incrementare il contatore su una password è certamente molto più debole che scegliere nuove password arbitrarie, ma quanto dipende dai tipi di attacchi previsti.

Se il tuo database di password è trapelato, una buona password può richiedere del tempo per essere violata. A quel punto, molto probabilmente, sei stato costretto a cambiare la tua password. Questo concetto è una parte importante del motivo per cui esistono queste reimpostazioni forzate della password "security theater".

TUTTAVIA, l'accesso al tuo account viene solitamente gestito utilizzando uno script automatico. Se la password tentata fallisce, lo script ha ancora qualche tentativo in più fino al blocco. Se, il 12 maggio 2016, una password come "fredJune15" è stata rifiutata e lo script è stato informato che i dati sono stati acquisiti nel luglio 2015, lo script potrebbe provare fredApril15, fredApril12, fredApril16 prima del blocco: hai fornito lo script indizi per le cose da provare.

Se lo script conosce il periodo di reimpostazione della password per il tuo sistema, o può indovinarlo, allora può indovinare con un semplice numero crescente, quante volte il numero avrà stato incrementato. Quindi "fred12", dopo sette periodi di reimpostazione forzata della password, sarà quasi certamente "fred19". I periodi di reimpostazione della password sono quasi sempre un mese, quindi indovinarli funzionerà quasi sempre.

Vale anche la pena notare: se usi la stessa password su più sistemi, ma con numeri diversi perché uno viene incrementato a un rate, o perché hai creato i tuoi account in un momento diverso, quindi se un sistema è compromesso, entrambi i sistemi lo sono.

Quindi, in breve: no, genera una nuova password casuale ogni volta. Usa un gestore di password. Se puoi utilizzare l'autenticazione a due fattori, fallo.

Dovresti rotolare una password completamente nuova.

Se non c'è una violazione, non vedo il valore nella rotazione costante delle password. Tuttavia, quando ruoti le password, questa è la chiave:

Vuoi rigenerare la password usando un sistema con lo stesso vincolo presumibilmente sicuro con cui hai impostato la password originale. Cioè l'incremento di un numero NON è accettabile perché stai solo modificando un byte poiché probabilmente un generatore ti ha dato P3588swrOd4.

Quindi se le tue regole per la password sono 3 parole casuali effettive "BadgerYtterbiumLancet" scegli una nuova non -parola casuale, rende la tua password molto più indovinabile, "BadgerFoxSquirrel".

L'altro grosso problema con il solo incremento delle password è che crea una situazione - diciamo che la tua azienda lo fa per 10 anni ... persone cambiare le password ogni mese. Stai creando hash delle password che sono pericolosamente simili tra loro. (questo è il motivo per cui usi qualsiasi cosa "casuale", "scegli" password - beh, le persone tendono a usare la password, una frase comune, ecc.) Vuoi la stessa unicità di ogni password rispetto alle altre - vuoi trattare nuove password per la stessa cosa delle nuove password. Cioè Password1, Password2, 3,4,5, ecc. questo finisce in un brutto posto. Ancora peggio se sei compromesso e risolvi il problema, se i tuoi dati sono preziosi per il cracker, puoi scommettere che proveranno quasi variazioni di ciò che hanno scoperto funzionare prima.

Inoltre, dovrebbe essere notato che non è sicuro per le persone esterne alla tua organizzazione (ad esempio dipendenti licenziati / vecchi) conoscere il metodo per la generazione della password. Ancora una volta questo è il motivo per cui torno al "casuale": nessuno dovrebbe sapere come prevedere la generazione della tua password oltre a qualcosa di vago "hanno scelto 4 parole casuali nel dizionario" o "hanno usato un potente generatore di password casuali".

Quando sto violando le password, riceverò la tua nuova password entro lo stesso secondo se tutto ciò che fai è incrementare. Questo perché sto provando le password aggiunte e anteposte prima di ogni altra cosa e solo dopo schemi relativi a qwerty e l'elenco di base delle password scoperte poiché è stata la mia esperienza che è ciò che noi umani siamo inclini a fare.

Probabilmente non è la risposta più sicura, ma di recente ho sentito consigli su cosa usare per le password che cambiano regolarmente: qual è il tuo obiettivo o qualcos'altro che non vedi l'ora di fare nei prossimi X mesi? Usalo per creare una password. Quindi, se stai andando in viaggio a Disney World prima che la tua password scada, potresti fare qualcosa come Looking4wrd2SpaceMtn!

Tra X mesi, quando la password scade, considera qualcos'altro, forse un obiettivo su cui stai lavorando: Wrk-out-35mincard! o

La tua password non può essere dedotta da password precedenti (se sei intelligente al riguardo), hanno una lunghezza decente e ti aiutano a ricordare un obiettivo su cui stai lavorando o un evento che non vedi l'ora di fare.

Se il trucco è cercare di ricordare la password e cambia frequentemente, penso che questa non sia un'opzione terribile.

Potresti essere in qualche modo al sicuro se il tuo suffisso sembra un anno di nascita.

Se uso myname1977 allora ci sono meno, ma probabilmente non zero, possibilità che qualcuno che conosce quella password indovini che l'ho cambiata in myname1978 .

Ma perché correre il rischio? (fai come dico, non come faccio io; incremento, ma solo al lavoro, perché è l'unico posto che mi chiede di cambiare la password e, per quanto mi riguarda, chiunque in azienda è libero di vedere tutto su il mio PC di lavoro. Il tuo chilometraggio sicuramente varierà).

Personalmente, trovo Edward Lear una grande fonte di ispirazione per le password :-)

E il più semplice, il più memorabile, "spunta tutte le caselle" di minimo 8 caratteri, un numero, un carattere speciale maiuscolo & un carattere speciale è sicuramente gatto più un grosso cane AKA gatto + 1 cane