Perché alcuni siti impediscono agli utenti di riutilizzare le vecchie password?

La prima domanda è: perché alcuni servizi richiedono che le password vengano periodicamente cambiate. La risposta è "Mitigazione del rischio".

La governance aziendale richiede che le politiche di sicurezza IT siano definite in base a un piano di gestione dei rischi. Una delle domande che i piani di gestione del rischio chiedono è come si può mitigare un rischio se si verifica. Nel contesto delle password, la domanda è come possiamo limitare il danno di una perdita di password.

Se l'amministratore di sistema è a conoscenza della perdita, gli utenti possono essere avvisati e altri passi possono essere presi. Per ridurre il danno causato da una perdita di password di cui l'amministratore non è a conoscenza, la durata delle password è limitata in modo che qualsiasi password trapelata possa essere utilizzata solo per un breve periodo di tempo.

Quindi i servizi richiedono la modifica periodica delle password. Il problema è che gli utenti non amano davvero cambiare le loro password. Quindi, ciò che gli utenti usavano fare quando erano costretti a cambiare la loro password era cambiarlo due volte, una volta in una password temporanea e poi una seconda volta nella password originale. Ciò ovviamente annulla lo scopo del criterio di richiedere la modifica delle password.

Quindi la prossima cosa che gli amministratori hanno fatto è stata memorizzare le ultime due password e verificare che la nuova password sia diversa dalle precedenti due password. Gli utenti astuti hanno contrastato questo cambiando la password tre volte: due password temporanee e di nuovo la password originale.

Potresti pensare che gli utenti non vadano incontro a tutti questi problemi solo per non cambiare le password, ma questo è ciò che realmente è accaduto. Un mio amico amministratore una volta ha confrontato le password hash nel suo sistema dopo un anno e ha scoperto che quasi tutte le password erano uguali, nonostante il fatto che la politica delle password obbligasse gli utenti a cambiare le password ogni tre mesi.

Quindi gli amministratori hanno iniziato a memorizzare le ultime 10 password. E gli utenti si sono opposti utilizzando una password fissa più una singola cifra che cambia alla fine per un ciclo di 10 password. E così abbiamo raggiunto la situazione oggi dove molti sistemi memorizzano tutte le password precedenti.

Detto questo, il vero valore di queste politiche è dubbio. Gli esseri umani hanno una capacità limitata di ricordare le password e se è sprecato nel ricordare queste password in rapida evoluzione, non può essere usato per mantenere password diverse su siti diversi (che è molto più importante).

Perché i burocrati amano essere burocratici. Pensano di aggiungere valore imponendo tutte queste restrizioni. In realtà, non così tanto. Non è chiaro che esista un valore nel richiedere alle persone di cambiare le password o impedire il riutilizzo di vecchie password su una base di routine. Ma cosa puoi fare?

Queste politiche sono spesso imposte da persone non tecniche, che non sono abituate a pensare attraverso un'attenta analisi del rischio in modo logico e sistematico. Se sembra giusto, allora vanno con loro. E posso capire perché imporre questo tipo di requisiti sembra una cosa buona: sembra che tu stia "facendo qualcosa". E sicuramente fare qualcosa deve essere migliore di niente , giusto? O così il pensiero va, comunque. (Probabilmente il pensiero è sbagliato, ma non importa.)

In alternativa, a volte ci sono requisiti di conformità esterni che possono costringere gli amministratori di sistema a imporre questo tipo di requisiti. Tali requisiti di conformità potrebbero non essere effettivamente utili o ragionevoli, ma se esistono, non c'è scelta: devi conformarti.

Vorrei indicarti un fantastico documento di ricerca su questo argomento:

• Da dove vengono i criteri di sicurezza? , Dinei Florencio e Cormac Herley, SOUPS 2010 (destinatario del premio per la migliore carta ).

Il documento esamina 75 siti Web diversi, che vanno da un'ampia varietà di pubblico e requisiti di sicurezza: dai siti finanziari online, dai siti governativi, dai siti educativi, dal commercio e dall'intrattenimento e così via. Esamina i loro requisiti di password.

Ha alcune scoperte sorprendenti. Ad esempio, il grado di sensibilità alla sicurezza, il valore delle risorse protette e il numero di utenti non tendono a correlare con la rigidità dei requisiti della password del sito. Come afferma il documento, "Alcuni dei siti Web più grandi, di maggiore valore e più attaccati su Internet come Paypal, Amazon e Fidelity Investments consentono password relativamente deboli". Anche i siti che hanno molto da perdere dalle violazioni della sicurezza spesso hanno requisiti di sicurezza deboli.

Perché è così? Questo potrebbe sembrare un po 'un enigma.

Il documento inizia a fornire alcuni suggerimenti quando osserva che i siti governativi e educativi tendono ad avere requisiti di password rigorosi, ma i siti che accettano pubblicità o ottengono più entrate per utente tendono ad avere requisiti di sicurezza più lassisti.

Il documento alla fine trarrà la seguente conclusione: per i siti educativi e governativi, i loro utenti non hanno scelta. I loro utenti non possono disertare su un sito concorrente. Pertanto, questi tipi di siti possono superare requisiti di password inutilmente rigorosi; non hanno alcun incentivo per migliorare l'usabilità. Al contrario, i siti commerciali in cui gli utenti hanno una scelta hanno fatto il proprio compromesso sui rischi e hanno deciso che la perdita di usabilità dei requisiti rigorosi delle password supera ogni modesto beneficio di sicurezza derivante da requisiti rigorosi delle password. In effetti, anche i siti commerciali che potenzialmente hanno molto da perdere dalle violazioni della sicurezza, ad es. I siti bancari e finanziari online, hanno spesso requisiti di password relativamente deboli. Se si presuppone che quei siti sappiano cosa stanno facendo e abbiano eseguito l'analisi costi-benefici, ciò suggerisce che i vantaggi di sicurezza derivanti da requisiti rigorosi relativi alle password sono superati dai costi di usabilità.

È un ottimo documento. Dovresti leggerlo.

A proposito, so che il documento parla dei requisiti di forza, al contrario delle politiche di modifica della password o delle politiche di riutilizzo della password, ma le stesse conclusioni si applicano allo stesso modo (in realtà, con ancora più forza). I requisiti di sicurezza delle password in modo abbastanza plausibile hanno alcuni vantaggi in termini di sicurezza. Al contrario, non è chiaro se esista qualsiasi modello di rischio razionale che implichi un vantaggio qualsiasi per le politiche che impongono modifiche alle password (e impediscono il riutilizzo delle vecchie password). Questo mi suggerisce che le rigide politiche di modifica della password e il riutilizzo della password probabilmente non hanno senso.

Non è male lasciare le password vive a lungo.

Tuttavia , alcune persone ritengono che il rinnovo della password sia importante e migliori la sicurezza. In tutta onestà, sono un po 'in perdita quando si tratta di capire che tipo di ragionamento va in quella asserzione; al massimo, forzare le normali modifiche delle password potrebbe avere dei benefici se consideriamo che alcune password sono già state rubate: cambiare tutte le password sarebbe come una pulizia superficiale, un modo per rendere più tollerabile una situazione di degrado.

Tuttavia, se un amministratore di sistema vuole che gli utenti cambino le loro password, proibire il riutilizzo della password è abbastanza logico: se gli utenti riutilizzano vecchie password, in realtà non cambiano le loro password. Qualsiasi vantaggio si possa ottenere con la modifica della password, verrebbe annullato dal vecchio riutilizzo della password.

Sono sostanzialmente d'accordo con ciò che hanno detto Thomas Pornin e David Wachtfogel. Quello che voglio aggiungere è che a volte questa politica viene applicata in alcune applicazioni per ragioni che non sono abbastanza tecniche. Ad esempio, se un'azienda desidera certificare la conformità PA-DSS, deve soddisfare determinati requisiti:

The payment application keeps password history and requires 
that a new password is different than any 
of the last four passwords used.

PA-DSS

Ho visto di recente tali implementazioni. Se l'hashing della password è debole (ad esempio MD5), ciò potrebbe ridurre la sicurezza generale del sistema a mio parere. Inoltre, se le persone sono spesso costrette a cambiare le loro password, finiscono per scriverle su carta, appunti, file di testo, ecc. Oppure cambiano semplicemente una cifra o un carattere all'interno della password. D'altra parte PA-DSS non impedisce l'uso di algoritmi deboli per memorizzare le password (ad esempio MD5, hash SHA2 anziché PBKDF2 o bcrypt / scrypt).

In realtà non riesco a trovare e comprendere alcun argomento valido per tali politiche.

Cambiare le password è una buona pratica, secondo la mia opinione personale. A volte non è consentito utilizzare una delle vecchie password, solo nel caso in cui l'avessimo divulgata in passato e non si ricordi - questo aumenta le probabilità di violazione della sicurezza nel proprio account.

E alcuni siti web non ti permettono di forzare l'utente a cambiare la password (in inglese semplice, per impedire a qualcuno di digitare la stessa password di quella esistente anche se si sente pigro a cambiarne uno, altrimenti digiterà la stessa password della password corrente.)

Sono sorpreso che nessuno l'abbia ancora detto. Dal punto di vista degli amministratori di un sito Web, cambiare le password in base a una pianificazione regolare (anche se sono sicure) è una buona idea nel caso in cui un utente malintenzionato abbia già violato il database. Se imponi ai tuoi utenti di modificare regolarmente le loro password, ci auguriamo che la maggior parte delle password, se non tutte, vengano modificate dal momento in cui l'utente malintenzionato apprende la versione in chiaro della password con hash (che in precedenza aveva rubato).