Sta costringendo gli utenti a cambiare le password utili?

Naviga le tue risposte
15

In molti luoghi, c'è una politica che costringe l'utente a cambiare la sua password una volta pochi mesi. La logica qui è che, anche se la password è trapelata in qualche modo, verrà abusata solo per un periodo di tempo relativamente breve. In modo che una nota con la password che hai gettato nel tuo cestino ora, non verrà e ti darà la caccia in cinque anni.

Ma ciò che manca a questa politica è IMHO, il fattore persone. Quello che molte persone fanno di solito quando sono costretti a cambiare la loro password, è scegliere una nuova password non troppo lontana da quella originale. Dal momento che è difficile memorizzare la nuova password ogni mese. Ad esempio 

foo1bar
foo2bar
foo3bar

o così. Quindi, un attaccante con una minima quantità di senso, attiverebbe john-the-ripper o equivalente, e scoprirà la tua password in pochissimo tempo. Diamine, l'entropia della nuova password data la vecchia password è in genere così bassa, in modo da poter anche bypassare un sistema di password che avvisa l'amministratore se hai inserito la password sbagliata per tre volte di seguito. Probabilmente troverai il nuovo in 10 tentativi e, dato che l'utente effettua l'accesso una volta al giorno, un attacco sarà in grado di scoprirlo entro un mese.

Quindi ti sto chiedendo, una norma che impone agli utenti di cambiare la loro password di tanto in tanto fornisce più sicurezza del suo costo?

    
posta Elazar Leibovich 15.09.2011 - 12:28
fonte

4 risposte

21

Come noti, quando costringe gli utenti a fare qualcosa, a loro non piace, perché rende le cose più difficili per loro. Gli utenti raramente si concentrano sulla sicurezza; non è il loro lavoro, e, invece, il loro lavoro implica passare attraverso i cerchi che il dipartimento di sicurezza si avvicina. Quindi reagiscono in modo logico, adottando misure che semplificano la vita.

Le contromisure classiche utilizzate dagli utenti includono:

  • semplice derivazione della nuova password da quella precedente (ma ci sono interfacce di gestione password che tentano di impedire che: "la nuova password sia troppo simile alla vecchia password");

  • passa in rassegna un elenco di password, generalmente ridotte a due password; l'utente scambia le sue password "normale" e "alternata" ogni volta che viene richiesta una modifica della password (per evitare che, il sistema di gestione delle password debba ricordare le password precedenti, che può essere di per sé un rischio per la sicurezza);

  • il preferito di sempre di scrivere le password su una nota adesiva (abilmente nascosto sotto la tastiera);

  • ottenere le password da una "lista naturale", ad es. giocatori attuali in una squadra di calcio (non è facile effettuare un test automatico che lo rilevi, ma un attaccante umano con mezzo neurone lo gestirà facilmente).

Quindi l'aumento della sicurezza attraverso il normale cambiamento delle password sarà, nel migliore dei casi, dubbio. La sua principale virtù è evitare la creazione di una "password tradizionale" locale che i dipendenti comunichino tra loro per anni e che i dipendenti precedenti continuino a ricordare.

In teoria, la normale modifica della password potrebbe dare agli utenti la sensazione di "qualcosa che vale la pena proteggere" e spingerli ad essere più cauti con le loro password; in pratica, non l'ho mai visto.

    
risposta data 15.09.2011 - 12:51
fonte
4

Uno degli aspetti che non è ancora definito, secondo me è il più importante: la consapevolezza dell'utente. Posso dirti dall'esperienza che ogni volta che puoi dare agli utenti una demo di quale sarebbe l'impatto di una password errata e renderli consapevoli di ciò, inizieranno a valutare ea comprenderli. La consapevolezza è esattamente la ragione per cui noi, i responsabili della sicurezza, capiamo il problema. Conosciamo l'impatto, gli utenti ordinari no.

Mostralo a loro in un workshop irrompendo nel momento in cui lo testimonieranno, in modo che comprendano la causa principale della politica della password.

    
risposta data 15.09.2011 - 23:21
fonte
4

Quando i tuoi utenti sono umani, forzare le modifiche delle password non aumenta necessariamente la sicurezza.
Vedi il post FTC " Tempo di ripensare obbligatorio modifiche della password " del capo tecnico Lorrie Cranor, basate sulla ricerca su come gli esseri umani utilizzano effettivamente questi sistemi. (Copertura Washington Post qui .)

    
risposta data 03.03.2016 - 21:27
fonte
2

Oltre ad alcuni dei motivi sopra riportati, la modifica delle password aiuta anche a impedire agli hacker di crackare le credenziali crittografate rubate e di utilizzarle. Se il tempo che intercorre tra le reimpostazioni è inferiore al tempo che è possibile ipotizzare per rompere l'hash, l'utente malintenzionato non può utilizzare la password.

Ad esempio, immagina se una banca perde l'intero database crittografato di password, ma non se ne rende conto. La banca richiede l'uso di password di natura complessa e di almeno 10 caratteri e richiede un reset ogni 90 giorni. Gli hacker hanno a disposizione un sistema che creerà un hash complesso di 10 caratteri in media entro 120 giorni.

Quindi, se gli utenti modificano le loro password ogni 90 giorni, le credenziali crittografate rubate scadranno prima che gli hacker abbiano il tempo di craccarle.

Ovviamente, i moderni sistemi di cracking possono fare molto meglio di 120 giorni, ma è comunque un buon esempio a causa di una cosa: quanti account degli utenti vogliono essere incrinati prima che facciano qualcosa di malvagio? Uno potrebbe tagliarli $ 200 dollari, ma 20.000 li al netto $ 2 milioni. Nascondersi in quei numeri è anche un buon metodo di gestione del rischio, poiché ottenere 20.000 combinazioni nome utente / password richiederebbe facilmente mesi.

* Nota: tutte le volte che do sono congetture. Ci sono un sacco di variabili che entrano nel cracking di una password, e non tutte sono prevedibili.

Mike

    
risposta data 15.09.2011 - 17:45
fonte

Leggi altre domande sui tag

Quando si registra per la maggior parte dei siti Web, perché è necessario confermare il proprio indirizzo e-mail? È sicuro archiviare l'hash della password in un cookie e usarlo per l'accesso "remember-me"?