Il motivo per cui le politiche di scadenza della password esistono, è quello di mitigare i problemi che si verificherebbero se un utente malintenzionato acquisisse gli hash delle password del proprio sistema e dovesse interromperli. Queste politiche aiutano anche a ridurre alcuni dei rischi associati alla perdita di backup più vecchi a un utente malintenzionato.

Ad esempio, se un utente malintenzionato dovesse penetrare e acquisire il file di password shadow, potrebbe quindi iniziare a forzare le password brute senza accedere ulteriormente al sistema. Una volta che conoscono la tua password, possono accedere al sistema e installare qualsiasi back door che vogliono, a meno che tu non abbia cambiato la tua password nel tempo che intercorre tra l'hacker che acquisisce il file shadow password e quando sono in grado di forzare l'hash della password. Se l'algoritmo hash della password è abbastanza sicuro da trattenere l'attaccante per 90 giorni, la scadenza della password garantisce che l'utente malintenzionato non acquisirà nulla di ulteriore valore dal file della password shadow, ad eccezione dell'elenco di account utente già ottenuto.

Mentre gli amministratori competenti stanno per proteggere il vero file delle password shadow, le organizzazioni nel loro insieme tendono ad essere più rilassate sui backup, in particolare i backup più vecchi. Idealmente, ovviamente, tutti sarebbero altrettanto attenti con il nastro che ha il backup di 6 mesi fa come lo sono con i dati di produzione. In realtà, tuttavia, alcuni nastri più vecchi inevitabilmente vengono mal collocati, archiviati in modo errato e persi in altre organizzazioni di grandi dimensioni. Le politiche di scadenza della password limitano il danno che si verifica in caso di perdita di un backup precedente per la stessa ragione per cui attenua il compromesso degli hash delle password dal sistema live. Se si perde un backup di 6 mesi, si stanno crittografando le informazioni sensibili e tutte le password scadute da quando è stato effettuato il backup, probabilmente non si è perso nulla tranne l'elenco degli account utente.

Ho sostenuto prima che non migliori nulla . Da quel post:

Obviously the attacker does not know your password a priori, or the attack wouldn’t be brute-force; so the guess is independent of your password. You don’t know what the attacker has, hasn’t, or will next test—all you know is that the attacker will exhaust all possible guesses given enough time. So your password is independent of the guess distribution.

Your password, and the attacker’s guess at your password, are independent. The probability that the attacker’s next guess is correct is the same even if you change your password first. Password expiration policies cannot possibly mitigate brute-force attacks.

So why do we enforce password expiration policies? Actually, that’s a very good question. Let’s say an attacker does gain your password.

The window of opportunity to exploit this condition depends on the time for which the password is valid, right? Wrong: as soon as the attacker gains the password, he can install a back door, create another account or take other steps to ensure continued access. Changing the password post facto will defeat an attacker who isn’t thinking straight, but ultimately a more comprehensive response should be initiated.

So password expiration policies annoy our users, and don’t help anyone.

Prima di rispondere se aiuta o non aiuta, ha senso guardare scenari specifici. (Questa è spesso una buona idea quando si tratta di misure di sicurezza.)

In quali situazioni la modifica della password forzata riduce l'impatto?

L'utente malintenzionato conosce la password di un utente ma non ha una backdoor. Non vuole essere scoperto, quindi non cambia la password da solo.

Vediamo se questo scenario è probabile:

Come potrebbe aver imparato la password?

• La vittima avrebbe potuto dirgli (ad esempio un nuovo stagista che dovrebbe iniziare a lavorare prima di ottenere il proprio account, un'altra persona che dovrebbe livellare un account in un gioco online
• L'autore dell'attacco potrebbe aver visto la tastiera
• L'autore dell'attacco potrebbe aver avuto accesso a un altro database di password in cui l'utente ha utilizzato la stessa password
• Un accesso una tantum utilizza un computer di proprietà (preparato) da un utente malintenzionato.

Cosa potrebbe impedirgli di creare una backdoor?

• Il servizio in questione potrebbe non fornire un modo per backdoor, ad esempio una casella di posta elettronica o applicazioni web comuni
• I privilegi dell'utente potrebbero non disporre dell'autorizzazione sufficiente per installare una backdoor
• L'attaccante potrebbe perdere la conoscenza richiesta (nel gioco online Stendhal la maggior parte degli "hack" sono fatti da fratelli arrabbiati che vogliono solo distruggere un giocattolo)
• L'aggressore potrebbe non essere diventato ancora cattivo. (ad esempio un dipendente che verrà licenziato il mese prossimo ma al momento non sospetta nulla)

Perché non utilizzare la password forzata scadere?

Può essere molto fastidioso per gli utenti che causano solo l'aggiunta di un contatore alla fine. Ciò potrebbe ridurre l'entropia delle password. Secondo la mia esperienza, genera costi di supporto aggiuntivi perché le persone dimenticano la loro nuova password più spesso del solito. Immagino che ciò sia causato dal cambio di password che li prende alla sprovvista mentre sono impegnati a pensare a qualcos'altro.

Per concludere

È lontano dall'essere un toccasana e ha un impatto negativo sull'usabilità, ma ha senso bilanciare ciò con la probabilità e l'impatto di scenari simili a quelli descritti sopra.

Uno studio condotto da Microsoft ha concluso che la politica di scadenza della password non aumenta la sicurezza negli scenari di vita reale.

Questi articoli sono stati rimossi, ma disponibili su Internet Archive:

• Per favore non cambiare la password
• Studio: le modifiche frequenti alla password sono inutili

Originale: Così lungo, e non grazie per le esternalità : Il rifiuto razionale dei consigli di sicurezza da parte degli utenti

Tutti abbiamo le nostre opinioni, ma dovremmo anche cercare una ricerca vera e propria sulla questione. Oltre al lavoro di Cormac Herley di Microsoft sulle password del sito web annotate nella risposta di Suma, c'è un documento di ACM CCS 2010: " La sicurezza della scadenza moderna delle password: un quadro algoritmico e un'analisi empirica " (pdf), scritto da Yinqian Zhang, Fabian Monrose e Michael Reiter. Hanno analizzato un grande set di dati e fatto alcune buone analisi su come sono realmente efficaci le politiche di scadenza delle password. La loro conclusione? Costringere gli utenti a cambiare la propria password ogni sei mesi non è molto utile:

at least 41% of passwords can be broken offline from previous passwords for the same accounts in a matter of seconds, and five online password guesses in expectation suffices to break 17% of accounts.

....our evidence suggests it may be appropriate to do away with password expiration altogether, perhaps as a concession while requiring users to invest the effort to select a significantly stronger password than they would otherwise (e.g., a much longer passphrase). ....

In the longer term, we believe our study supports the conclusion that simple password-based authentication should be abandoned outright

Per una ricerca su come aiutare gli utenti a scegliere password più forti, vedi Politica raccomandata sulla complessità della password - Sicurezza IT

Le uniche due buone ragioni che ho sentito:

1. Finestra di opportunità : in uno scenario di attacco online, chiedi di bloccare l'account per 30 minuti dopo 10 tentativi errati (l'impostazione consigliata da Microsoft per ambienti ad alta sicurezza). Senza alcuna scadenza della password, esiste potenzialmente una finestra temporale illimitata per tentare metodi di attacco di dizionari, brute-force e password comuni. Scadenza della password tappi che. In uno scenario off-line, in cui non ti rendi conto che le tue password sono state rubate, le password di nuovo scadenti forniscono all'aggressore una finestra temporale limitata per rompere le password prima che diventino inutili. Naturalmente come @ graham-lee afferma che hai bisogno di altri controlli per rilevare cose come una back-door

2. Conformità : praticamente tutti i regolatori e i revisori cercheranno la scadenza della password. Compreso PCI-DSS, HIPAA, SOX, Basilea II, ecc. Correttamente o erroneamente questo è il mondo in cui viviamo. Inoltre, "nessuno è stato licenziato per aver acquistato la teoria di IBM". Se non si ha la scadenza della password e gli altri nel proprio settore lo fanno, se vieni hackerato, non segui le "pratiche standard del settore". Ancora più importante la direzione non può dirlo alla stampa, a un regolatore, a un tribunale. La stessa ragione per avere firewall di controllo completi dello stato, antivirus, IDS anche se ora sono meno efficaci di 10 anni fa.

Detto questo, tutti hanno detto che il cambio di password è terribile per l'esperienza degli utenti, specialmente laddove non esiste un accesso singolo limitato o può portare a "cambio di password giorno" dove un utente passa e cambia la password per i loro 30 sistemi allo stesso solito aumentando una cifra. Questo chiaramente non è il comportamento desiderato. La mia raccomandazione per cambiare questa cultura se è possibile nel vostro ambiente di regolamentazione / audit è modificare la vostra politica per rimuovere la scadenza della password con una giustificazione chiara (molto qui). Ottenere questo approvato dall'appropriata governance della sicurezza e revisionato da audit / regolatore. Quindi vai avanti e cambia i sistemi. In alternativa, usa più SSO e ID federato, idealmente con due fattori, in modo che almeno gli utenti debbano solo cambiare una o alcune password.

Una ragione non menzionata qui è che impedisce a persone che usano la stessa password per tutto di compromettere il sistema se la loro password è stata trovata altrove. Dopo la scadenza di alcune password, gli utenti inizieranno a dover trovare password originali, il che significa che quando viene rubata la password preferita e tutte le e-mail, i siti di social network e gli account personali vengono violati, il sistema sarà comunque sicuro.

Quanto una scadenza delle password può migliorare la sicurezza?

Questaimmaginemostra,peralcuniscenari,larelazionetratempoeprobabilità,cheunattaccodiforzabrutasuuntipodipasswordèriuscito,asecondadelnormalecambiamentodellapassword.Iltempoassolutoèdiminoreinteresse.Quantoèlungo-ononc'èmoltadifferenza,olavulnerabilitàègiàpiuttostoalta.

Comemenzionatodaaltriprima,cisonodiversiscenari,incuilamodificadellapasswordpotrebbeaiutare:

• a)L'utenteAcomunicaauncollegaBlasuapasswordinunasituazionespeciale.PiùtardiBvienelicenziato.OrapotrebbepensarediusaremalelapassworddiA(ilsuoaccountècancellato,supponiamo),mapotrebbeesserenecessariodeltempo(peresempio,perdereunacontroversiacontrol'aziendaintribunale)primadiiniziareilsuoattacco.Qui,èmoltoutilecambiarelapassword,maovviamentenondasecret2010asecret2011.
• b)L'attaccantehaaccessoalfileshadowedèforzatobrutoconunacertaquantitàdipotenzadellaCPU(oGPU).

Nelcasob),lapoliticapercambiarelapassword,sembraragionevole,masiguadagnasoloseilrischiodiesserevulnerabiliègiàmoltoalto.Lasciachetispieghiconinumeri:

Supponetecheunutentemalintenzionatopossatentare250.000passwordalsecondo.Supponiamochetudicachelapasswordscadedopo183giorni(circa6mesi).Lapasswordègeneratadaa-zA-Z0-9cheè62segni.Supponiamochelapasswordsialunga8segni.Controllaquantoèprobabileunarotturadopo10anni,ovvero20intervallidicambio.

Hoscrittoun programma , per testare diversi parametri; chiama il programma con

java PasswordCrackProb 8 62 250000 s 183 20

len             = 8
signs           = 62
attacks per day = 21 600 000 000
change after days= 183
intervals       = 20    days = 3660 years = 10
M               = 218 340 105 584 896
attacks         = 79 056 000 000 000
p(cracked)      = 0,3620773 without change
p(cracked)      = 0,3060774 with change

Il risultato significa che è rotto con una probabilità del 36% se la password non è stata cambiata e con il 31% se è stata cambiata (ma l'attaccante ha un nuovo file shadow). La differenza è significativa e, a maggior ragione, se impieghiamo più tempo, 40 intervalli, come 20 anni:

p(cracked)      = 0,7241546 without change
p(cracked)      = 0,5184715 with change

ma sebbene il 52% sia molto inferiore al 72%, il 52% potrebbe non essere accettabile.
Ma se osserviamo intervalli più piccoli, la differenza relativa tra password cambiate e invariate diventa sempre più piccola.

p(cracked)      = 0,0905193 without change
p(cracked)      = 0,0873006 with change

Se si presuppone una maggiore potenza della CPU o password più deboli, il tempo di crack diventa più piccolo, ovviamente, ma il numero di attacchi al giorno non è molto interessante. Dobbiamo supporre: non possiamo imporre all'utente di cambiare la password su base giornaliera. Quindi alcuni giorni - forse una settimana - è il minimo. E non abbiamo bisogno di un massimo per più di 20 anni. I sistemi cambiano, le persone cambiano lavoro. Non puoi evitare di cambiare la password dopo 20 anni.

Se l'attaccante ha troppa energia e le forze brute costringono l'intero spazio dei nomi in un solo giorno, un cambio settimanale non ti aiuterà molto: vince sempre. E se l'attaccante può solo forzare l'1% dello spazio dei nomi (per una determinata lunghezza della password) tra 50 anni, non è d'aiuto, per cambiare la password - vincerai (quasi) sempre.

Solo in uno scenario intermedio e bilanciato, la modifica della password potrebbe fare la differenza, ma sai davvero se il malintenzionato ha bisogno di 1, 10 o 100 anni per forzare la tua password?

Ma ricorda: se l'autore dell'attacco ha avuto accesso solo una volta al tuo file shadow, che ora è scaduto, il confronto dal mio programma non è adatto.

Risposta semplice - in questi giorni non aiuta quasi mai. Le risposte precedenti forniscono i due scenari principali in cui avverrà, ma anche in questo caso 90 giorni non sono ancora così utili.

Potrebbe essere peggio - abbiamo passato anni a persuadere le persone che 30 giorni erano troppo brevi, ma ai tempi in cui rubare il SAM era relativamente facile la gente era molto preoccupata per un attacco di forza bruta sul SAM. Abbiamo ottenuto molte società per concordare un compromesso di 90 giorni, ma anche se il potere di cracking è salito definitivamente, gli hash sono protetti meglio e generalmente la maggior parte dei posti ha ora almeno alcune regole di complessità della password, quindi è diventato molto meno importante.

Vorrei solo aggiungere una cosa. Possiamo affrontare questo problema dal punto di vista sociale. Resettando la password ogni X giorni stiamo dicendo all'utente - Ehi, questo è importante e non dovrebbe essere preso alla leggera!

Come una delle novità nella nuova pubblicazione NIST, denominata Special Publication 800-63-3:

No more expiration without reason. [...] If we want users to comply and choose long, hard-to-guess passwords, we shouldn’t make them change those passwords unnecessarily.

Da: link

La pubblicazione dal NIST stesso può essere trovata qui: link

Ci sono altri consigli che il mondo di infosec ha accettato da tempo: minimo 8 caratteri, lunghezza massima di 64 caratteri o più, nessun suggerimento per la password o domande segrete, permetti tutti i personaggi (comprese le emoji) e nessuna fastidiosa regola come " deve contenere un carattere speciale ma non un segno di dollaro o percentuale ".

È ancora una bozza, ma praticamente risponde alla domanda.

Una considerazione importante da tenere in considerazione quando si fa questa domanda è che potresti non sapere che il tuo account è già stato violato.

Se la tua password fosse stata compromessa, e ne eri a conoscenza, ti muoveresti immediatamente per cambiarla in ogni caso.

Forzandoti a cambiare la password ogni 90 giorni (o gli amministratori di account sospesi) stanno mitigando due rischi. 1. Gli utenti / account inattivi saranno disponibili per un numero illimitato di tempo per consentire a un utente malintenzionato di entrare in forza. 2. Che, nel caso in cui tu non sia stato violato, sei costretto a cambiare la tua password a prescindere (quindi reblocco "l'attaccante fuori dal tuo account)

La maggior parte dei servizi online (ad esempio banche) limita il numero di tentativi online per unità di tempo, rendendo inutile un attacco di forza bruta.

Il risultato di una politica di modifica della password è quasi sempre un rischio per la sicurezza. Può assumere la forma di password PostIt , o password che assumono la forma pass!1000 , cambiate in pass!1001 , quindi in pass!1002 e così via.

Potrebbe sembrare in qualche modo migliore nel senso che l'ente impone di cambiare le password in un intervallo periodico. Tuttavia, se l'utente sta cambiando le password nell'intervallo, ma lascia sempre un patter dietro le sue modifiche, allora non ha senso cambiare le password. La sua minaccia più seria invece. L'utente si sente lui / lei ha cambiato le sue ultime password e si sente al sicuro. e l'hacker riceve sempre un indizio sulla password.

-

Il modo migliore è sempre di suggerire al fornitore di servizi di implementare un algoritmo migliore e più sicuro, chiedendo quindi agli utenti finali di reimpostare ogni volta la dannata password. Se qualcuno è uguale a lui / lei avrà in mente che in questi giorni abbiamo Single Sign On e OpenID, dove le persone preferiscono accedere con un account piuttosto che ricordare password diverse per siti web diversi.

- Nonostante tutte le discussioni, si consiglia di cambiare frequentemente la password, Ma,

On YOUR FREE WILL

Un suggerimento rapido: usa più parole nella tua password (la data di scadenza contrassegnata più sicura)

Per aggiungere ciò che è già stato detto, posso pensare a 2 altri motivi per cui è utile cambiare le password regolarmente:

1) Quando la potenza di calcolo aumenta notevolmente

Diciamo che all'inizio degli anni '90 le password di 7 caratteri erano considerate sicure perché i computer non erano abbastanza potenti per rinforzarle.

24 anni dopo i sistemi che hanno ancora la stessa password possono essere implementati con successo.

Alcuni calcoli, considerando che la password è composta da 24 lettere (maiuscole e minuscole), 10 numeri e 10 simboli e la legge di Moore (x2 più potenza ogni 2 anni):

possible combinations = (24 + 24 + 10 + 10) ^ 7 = 6,722,988,818,432

tries per second in 1990 = 100,000 (for example)

time required in 1990 = possible combinations / tries per second = 2 years

tries per second in 2014 = tries per second in 1990 * (2 ^ 12) = 409,600,000

time required in 2014 = possible combinations / tries per second = 4 hours

Questo è più su come aumentare la lunghezza minima richiesta della password, ma dovrebbe essere fatto regolarmente e le password brevi dovrebbero essere cambiate.

2) Conformità agli standard ISO / IEC 27001/27002

Da ISO / IEC 27002: 2013, sezione 9.4.3:

A password management system should:

...

e) enforce regular password changes and as needed;

3) Conformità allo standard PCI DSS

Da PCI DSS v3, sezione 8.2.4:

8.2.4 Change user passwords/passphrases at least every 90 days.

8.2.4.a For a sample of system components, inspect system configuration settings to verify that user password parameters are set to require users to change passwords at least every 90 days.

8.2.4.b Additional testing procedure for service providers: Review internal processes and customer/user documentation to verify that:

• Non-consumer user passwords are required to change periodically; and

• Non-consumer users are given guidance as to when, and under what circumstances, passwords must change.

Passwords/phrases that are valid for a long time without a change provide malicious individuals with more time to work on breaking the password/phrase.

Ruotiamo le 'password pubbliche' (guest wifi) per svuotare l'accesso dei dipendenti che hanno lasciato la società .

Accettiamo gli oneri delle "password individuali" in rotazione, perché a) iniziamo sempre dal presupposto che tutti gli account di non-techie siano già stati compromessi. E b) per "chiudere automaticamente" tutti gli account che sono stati dimenticati . Poiché l'accesso " centralizzato imposta la nuova password" è l'unico che non dimenticheremo mai di chiudere. ( Scadenza sicura di tutte le dipendenze Single Sign-On ) Ciò include anche l'hardware (notebook) che viene consegnato a un nuovo proprietario e potrebbe contenere " password salvate ".

( c) Inoltre, rende le persone consapevoli di dove vengono salvate automaticamente le password .)

( d) Inoltre, possiamo dire alle persone di "cambiare tutte le password", dopo una perdita di dati discutibile. Funziona in modo affidabile solo con dipendenti che sono stati addestrati alla modifica della password .)

In breve, la scadenza automatica è una guardia di sicurezza contro le persone che non si comportano come gli hai chiesto di fare.

Una lettura letterale rigorosa della domanda porta alla risposta: aumenta la sicurezza in modo negativo: sia attraverso note post-it sia utilizzando numeri crescenti o numeri maiuscoli.

Potrebbe comunque diminuire il rischio di problemi legali dalla conformità.

Molte risposte indicano già che spesso costringere gli utenti a modificare le proprie password non è utile; Vorrei aggiungere l' opinione di Bruce Schneier , probabilmente il più famoso esperto di sicurezza.

Fondamentalmente dice che dipende da cosa protegge quella password e come può essere usata una password rubata. Sembra ovvio, ma non è affatto ovvio che tra la password per Facebook e quella per il tuo banking online, sarebbe meglio cambiare la prima. Esatto: ha più senso cambiare la password di Facebook anziché la password della tua banca. Vediamo perché.

Cambiare regolarmente la tua password aiuta nel caso qualcuno l'abbia trovata e tu non ne sia ancora al corrente, perché l'attaccante preferisce essere furtivo. A seconda dell'account che hanno violato, ciò potrebbe, o meno, avere un senso.

• In molti casi, se l'utente malintenzionato scopre la tua password, farà qualcosa che sicuramente noterai. Ad esempio, se può accedere il tuo conto in banca, trasferirà denaro da esso. Citando Bruce: "In questo caso, non ha molto senso cambiare la password regolarmente - ma è vitale cambiarlo immediatamente dopo la frode si verifica. "L'idea è che se nessuno ruba soldi al tuo account, probabilmente significa che nessuno ha trovato la tua password (perché potrebbero aspettare, altrimenti?), quindi non c'è motivo di cambiarlo.

• Invece, qualcuno che ruba la tua password di Facebook potrebbe usarlo per spiarti. Ad esempio, tua moglie potrebbe usarlo per controllare se hai un amante. In questo caso non noterai il attacco , perché l'aggressore vuole essere in grado di continuare a spiare tu, quindi non pubblicheranno nuovi messaggi o altro sarebbe notevole. Qui, cambierebbe regolarmente la tua password impedirle di continuare.

Quindi, dati i diversi scenari di attacco, cambiare la password di Facebook è più utile della modifica della password della banca. È abbastanza contro-intuitivo, ma ha un senso.

L'hardware perso, smarrito o rubato può anche essere un vettore di attacco che fornisce l'accesso alla migliore password offuscata.

L'attaccante può rubare uno smartphone e recuperare le password in Wi-Fi, nella maggior parte dei casi l'account utente generale.

Personalmente non penso che applicare la scadenza della password agli utenti dell'ufficio (o, le persone che non hanno familiarità con l'uso del computer, per non parlare della sicurezza informatica) sia una buona idea nella forma così come è stata fatta in molte organizzazioni. Come si è notato sopra, il principale difetto di sicurezza in questo caso è che gli stessi utenti dell'ufficio scrivono semplicemente le loro password su note adesive e le incollano sui loro schermi o le incollano nelle loro scrivanie. Oppure, se la persona è leggermente più "avanzata", potrebbe iniziare a utilizzare password come letmeinMONTHYEAR .

Tuttavia, la scadenza periodica della password è una buona cosa, una volta abbinata alla corretta gestione delle password. Ovviamente la maggior parte delle persone (non-savant) non sarà in grado di ricordare password veramente sicure - qualcosa come v^i77u*UNoMTYPGAm$ . Quindi cosa dovremmo fare?

Personalmente uso un gestore di password che tiene traccia di tutte le mie password, tranne una, la password principale. Questo semplifica davvero le cose e le rende molto più sicure (a condizione che la mia password principale sia sicura e posso facilmente ricontestarla per accedere al gestore delle password.) Ci sono diversi gestori di password commerciali, che ti permetterò di scoprire e testare per voi stessi. Io personalmente uso Lastpass che è gratuito per uso generale ed è sicuro. È disponibile tramite il browser web e può anche essere installato come app sul tuo smartphone o tablet. Per quanto riguarda i problemi di sicurezza legati al fatto che una soluzione di terze parti gestisca tutte le password, faccio affidamento sul controllo effettuato da Steve Gibson. Puoi guardare la versione completa di questo qui .

Quando i tuoi utenti sono umani, non aumenta necessariamente la sicurezza.
Vedi il post FTC " Tempo di ripensare obbligatorio modifiche della password " del capo tecnico Lorrie Cranor, basate sulla ricerca su come gli esseri umani utilizzano effettivamente questi sistemi. (Copertura Washington Post qui .)

Inoltre, come discusso nel blog sulla sicurezza SANS , "Una delle linee guida principali per cambiare comportamento è [concentrarsi sul minor numero di comportamenti che affrontano il rischio maggiore." I costi per richiedere le modifiche della password vengono spesi meglio per insegnare agli utenti a utilizzare password forti e univoche e / o password manager / autenticazione multifattore. Inoltre, i vantaggi delle modifiche alle password sono diminuiti ora che gli attacchi possono e spesso accadono molto più rapidamente rispetto agli attacchi manuali lunghi e lenti che le modifiche alle password potrebbero aiutare a tagliare.

Vorrei essere d'accordo sul fatto che questo è principalmente un requisito dettato dalla conformità con un aumento marginale netto della sicurezza (a, purtroppo, un costo notevole in perdita di disponibilità operativa, a causa del blocco di utenti altrimenti legittimi dopo il 90 giorni, le comunicazioni macchina-macchina sono fallite perché le loro password sono scadute e nessuno le ha aggiornate, chiama l'Help Desk per risolvere i problemi di reimpostazione della password e così via).

Detto questo, ci sono valide ragioni per far rispettare tale politica (anche se - queste giustificazioni sono notevolmente diminuite dal periodo di validità relativamente lungo per una password particolare ... dopotutto se un cyber-crook ottiene la tua password per 90 giorni, c'è un sacco di danni che lui o lei può fare).

Il più grande vantaggio si presenta nel seguente scenario:

1. Tieni hackerato o comunque compromesso e il cyber-crook trova il tuo nome utente e la password.

2. Capita di essere vicino al periodo di tempo della "soglia di cambiamento" (tipicamente - la fine del trimestre, e non pensare che i cyber-criminali non lo sappiano).

3. Ti è richiesto di cambiare la tua "vecchia" password (che sia tu che il cyber-crook, sapete).

4. Segui la politica aziendale e cambia la password, il che significa che ora il cyber-truffatore è bloccato di nuovo. Lui o lei può provare a usare gli stessi metodi di prima, per ottenere anche l'accesso non autorizzato a questa credenziale ... ma farlo potrebbe essere noioso e dispendioso in termini di tempo.

Il punto qui è, "cambiare la password a qualcosa di nuovo", non è qualcosa che un criminale informatico normalmente fa, perché dal suo punto di vista (a meno che, naturalmente, il dirottamento della password sia davvero un tipo di attacco Denial-of-Service), cambiando la password e bloccando il legittimo proprietario (originale) fuori dall'account, avviserà immediatamente l'utente legittimo che sta accadendo qualcosa di sconveniente.

Questo è in cima al fatto che i criminali informatici di solito dirottano migliaia di password alla volta; cambiando tutti questi, soprattutto perché potrebbero non avere accesso ai sistemi di back-end impostati per consentire a utenti legittimi di farlo, può essere un compito oneroso.

Nessuno dei precedenti è stato scritto ignorando il fatto che i cyber-criminali di solito impostano il proprio account privilegiato, nel momento in cui ottengono l'accesso non autorizzato al proprio sistema o intendono ignorare gli altri potenziali punti deboli nel Cambio di 90 giorni "paradigma che è così diffuso in questi giorni. Pensa a questa regola come a un elemento (minore) della tua strategia di difesa a più livelli e vedrai che ha un posto ... ma non è certo qualcosa su cui dovresti fare affidamento, per tenere fuori i cattivi.

Se vengono utilizzate password ragionevolmente potenti, non è così. Potrebbe essere necessario modificare le password regolarmente se alla fine possono essere violate offline se un utente malintenzionato è riuscito a estrarre gli hash dal database. Tuttavia, l'applicazione delle modifiche alle password sembra una debole forma di sicurezza quando gli utenti dovrebbero essere incoraggiati a selezionare password complesse, ad esempio basate su lunghe passphrase.

Senza essere istruiti sulla sicurezza delle password, la maggior parte degli utenti non sceglierà password sicure, quindi il limite di 90 giorni per modificare è progettato per proteggere questi account. Dato che questi utenti non capiscono o si preoccupano della sicurezza del proprio account, è probabile che scelgano un'altra password debole, probabilmente sulla base di quella vecchia (il che significa che un utente malintenzionato può crackare quello vecchio e quindi utilizzarne le variazioni in un attacco online) . L'utilizzo della politica di 90 giorni in combinazione con il controllo della somiglianza della nuova password con quella precedente può essere vista come un aiuto. Le password degli altri utenti saranno più difficili da decifrare, sebbene se un hacker dedichi abbastanza tempo è assolutamente possibile - qualsiasi password con una potenza inferiore a 128 bit di entropia significa che ha la possibilità che venga crackata alla fine, sebbene a meno che un utente malintenzionato è specificamente interessato a un determinato account, questo ha una probabilità molto bassa di accadere.

Un buon motivo per cambiare le password è che gli utenti spesso salvano le password in posti non sicuri. Ad esempio, la funzionalità di completamento automatico del browser potrebbe aver ricordato la password sul computer di un amico. Tuttavia, questo non è né qui né lì.

Questo è il motivo per cui è considerato una buona pratica cambiarli ogni tanto. I 90 giorni si rivolgono al minimo comune denominatore. Qualsiasi utente che utilizzi password complesse generate utilizzando un generatore di password avrà il minimo problema per poterle quindi cambiare, quindi questa politica non dovrebbe causare problemi significativi. Posso capire che gli utenti con molti account con questa politica saranno annoiati.

Un ulteriore motivo per cambiare la password spesso è che gli algoritmi di memorizzazione delle password come bcrypt e altre funzioni di derivazione chiave hanno un numero di iterazioni, che può essere aumentato per aumentare il fattore di lavoro come Legge di Moore prende piede. L'inserimento di una nuova password offre l'opportunità di salvare nuovamente l'hash della password con più iterazioni o di aggiornare l'intero algoritmo di hashing man mano che aumenta la posizione di sicurezza del sistema. Ad esempio, se il sito inizialmente memorizzava password in chiaro, quindi passava a SHA-1, quindi SHA-1 con salt, quindi eventualmente bcrypt, l'atto di modificare la password viene spesso utilizzato come un'opportunità per aggiornare il formato memorizzato per questo utente all'interno del database.

Si noti che una modifica della password non è tecnicamente richiesta, solo che molti sistemi riscriveranno la password per la memorizzazione a questo punto, tuttavia potrebbero farlo anche dopo aver effettuato correttamente il login, poiché la password del cleartext sarà disponibile anche a questo punto. La forzatura di una modifica della password aiuterà in questi casi e ha anche il vantaggio che se nel sito vi fossero vulnerabilità non rilevate di perdita di password (ad es. SQL injection) la password sarà stata cambiata in qualcosa di più sicuro e il formato hashing essendo aggiornato. Si noti che forzare una modifica della password non aiuta ad aggiornare gli account inattivi, motivo per cui alcuni standard impongono che gli account inattivi vengano disabilitati dopo un periodo di tempo (es. PCI dopo 90 giorni) - se la password è anche memorizzata in qualche formato nel DB Si raccomanda inoltre di escluderlo nel caso in cui l'utente lo abbia riutilizzato altrove e successivamente venga trapelato.