La maggior parte dei commenti qui è abbastanza buona e identifica i problemi chiave. Tuttavia, uno
punto che deve essere considerato è che è necessario valutare questi tipi di
domande nel contesto e sii molto attento alle generalizzazioni che lo affermano
è buono o cattivo.
Le domande sulla cronologia delle password sono correlate al concetto di invecchiamento della password e
richiedere agli utenti di cambiare regolarmente la propria password. Un tempo, è stato riconosciuto
best practice per invecchiare le password e mantenere una cronologia per garantire che gli utenti non abbiano riutilizzato a
password precedente Questo era, nella maggior parte dei casi, appropriato per i tempi e
gli ambienti più in voga in quel momento. Tuttavia, le cose sono cambiate e per molti,
essere costretti a cambiare regolarmente la password e il riutilizzo della password è di
piccolo vantaggio e forse anche dannoso.
Ci sono state alcune ricerche che presentano la premessa che l'invecchiamento delle password e
la cronologia delle password potrebbe effettivamente ridurre la sicurezza anziché aumentarla. La base
ipotesi e idee sono
- La maggior parte delle persone ha solo un numero stabilito di password valide che sono in grado di ricordare
- Quando è costretto a cambiare regolarmente la password e viene impedito il riciclo
password, usano / patterns / per aiutare a rendere il requisito gestibile
- Se sei in grado di ottenere abbastanza informazioni sulla cronologia delle password, identificandole
i modelli possono diventare possibili. Questo potrebbe non solo rendere lo spazio di ricerca per
indovinare una password più piccola, potrebbe addirittura consentire la previsione delle password future.
Quindi, questo significa che l'invecchiamento della password e la cronologia sono una cattiva idea? Possibilmente e possibilmente
non. Dipende dall'ambiente.
Nella mia vita privata, uso un gran numero di servizi web. Cerco di adottare bene
pratiche di password - Io uso password diverse su siti diversi, io uso strong
password e utilizzo la verifica a due fattori, ove possibile. Non comunico
password su canali non sicuri ecc. In questo ambiente, essere costretti a cambiare il mio
è improbabile che la password impedisca di riutilizzare una password
sicurezza. Se il fornitore di servizi non protegge queste informazioni in modo appropriato,
potrebbe persino ridurre la mia sicurezza, dato che gli aggressori potrebbero essere in grado di indovinare il mio intelligente
password 'pattern'.
D'altra parte, ho lavorato contemporaneamente in un ambiente in cui molti membri dello staff
viaggiava molto e spesso utilizzava reti sconosciute e forse insicure. In questo
situazione, c'era un rischio molto più alto che una password è stata compromessa. Per
questo scenario, che richiede agli utenti di cambiare regolarmente le loro password, può essere giustificato
in quanto ridurrà la superficie di attacco, cioè la quantità di tempo in cui un compromesso
la password può essere utilizzata da terze parti non autorizzate. L'applicazione della cronologia delle password lo farà
assicurarsi che l'utente non ricicla una password che potrebbe essere già stata
compromessa. (in realtà, probabilmente molto più beneficio sarebbe ottenuto attraverso l'utente
educare e insegnare alle persone come riconoscere reti potenzialmente pericolose e
permettendo loro di cambiare la loro password quando possono valutare con precisione i rischi piuttosto
che forzare una taglia unica si adatta a tutti i tipi di soluzione, ma l'educazione e la consapevolezza dell'utente sono a
molto difficile da rompere!).
La misura in cui la cronologia delle password può essere un problema di sicurezza dipende in realtà da come
bene, la storia è assicurata. Il pericolo è che la gente possa pensarlo perché è così
solo una cronologia delle passate password, non richiede lo stesso livello di protezione
che i dati della password effettivi richiedono. Questo di solito sarebbe un errore. La password
la cronologia deve essere trattata con lo stesso livello di protezione della password corrente
dati. Se questo è fatto in modo efficace, allora probabilmente non è più un rischio di
vero e proprio hash della password e, naturalmente, se i dati attuali della password non lo sono
adeguatamente protetto, quindi le preoccupazioni sulla cronologia delle password sono probabilmente irrilevanti.