Gli utenti dovrebbero poter reimpostare la propria password su quella corrente?

Penso che l'applicazione della limitazione degli utenti al riutilizzo delle password dipenderà in gran parte dall'applicazione e dalla loro accettazione del rischio. Le "best practice" di password sono probabilmente uno degli argomenti più frammentari in Information Security, ed è probabile il motivo per cui questi cheat sheet non ne fanno menzione.

Per le organizzazioni che hanno una politica sulle password che richiede agli utenti di cambiare la propria password ogni X giorni, limitare l'utente a cambiare la propria password a qualcosa è già stato logico. La logica alla base di ciò è che richiedere agli utenti di modificare la propria password su base regolare riduce la possibilità che una vecchia password, se compromessa, possa essere utilizzata in un attacco di Password Replay.

Con tale politica, è probabile che sia impostato un valore "Password memorizzate". Questo criterio ricorderà il precedente numero di password X degli utenti per garantire che rispettino la politica della password e non riutilizzino le vecchie password. Il riutilizzo delle vecchie password renderebbe effettivamente inutilizzabile la politica della password. In questo caso si vorrebbe forzare un utente a impostare una nuova password se fa clic sull'opzione "password dimenticata". Senza costringerli a farlo, un utente potrebbe semplicemente utilizzare la funzione "password dimenticata" nell'applicazione per assicurarsi che possa sempre avere la stessa password, senza essere obbligata a cambiarla in qualcosa di nuovo.

Facendo un ulteriore passo avanti, è anche normale che ci sia un tempo di "blocco" della password in cui gli utenti non possono cambiare la loro password per X giorni dopo che è stata cambiata. Questo per evitare che le persone passino rapidamente in bicicletta attraverso 3 password modificate per poter utilizzare quello che gli piace. In questo modo, se la password che un utente sta per scadere, non può modificare rapidamente la propria password X per tornare a quella che preferisce.

EDIT: Prendi ciò che vuoi, ma il NIST ha ha pubblicato una linea guida che raccomanda contro le norme sulle password che richiedono agli utenti di cambiare le loro password.

Regola generale del pollice: la maggior parte delle politiche relative alle password è una schifezza. Sono basati su ipotesi antiche e mai validate. Proprio quest'anno ha avuto il brillante esempio dello standard NIST che ha fatto anche le notizie mainstream.

Costringere gli utenti a modificare le password, sia regolarmente che a causa di alcuni eventi, rende anche più difficile per loro ricordare quale fosse la password. Gli umani non sono bravi nel trattamento variabile. Una causa molto comune delle password dimenticate in realtà è la modifica forzata della password e molti dei reclami dell'help desk sono fondamentalmente "Non riesco a ricordare quale fosse", non un completo non ricordo.

Un cambiamento potrebbe essere utile, in quanto vi è un motivo per cui l'utente ha dimenticato la password. Forse è stato scelto male (difficile da ricordare). Ma questa dovrebbe essere una scelta dell'utente.

Una considerazione importante che quasi sempre mi manca è quella di spiegare il tipo e l'importanza del sistema dal punto di vista dell'utente. Le regole per un sistema che la maggior parte degli utenti utilizza ogni giorno dovrebbero essere diverse da quelle che la maggior parte degli utenti utilizza in modo irregolare e / o con pause più lunghe tra gli usi.

Ci sono due motivi per cambiare una password, secondo le linee guida NIST più recenti, che stanno lentamente diventando lo standard del settore:

1. All'utente non piace la loro password corrente.
2. La password corrente è stata compromessa o sospettata di essere stata compromessa

Gli utenti non amano la loro password corrente per una serie di motivi: l'hanno dimenticato, è difficile da digitare, pensano che sia insicuro, a loro piace ruotare loro stesse le password, ecc. Se l'utente sceglie di reimpostare la password e la imposta alla password corrente, non ci sono problemi - questi sono quelli che chiamo "Ripristini di usabilità" - non sono affatto legati alla sicurezza. Se l'utente vuole reimpostare la propria password su ciò che è attualmente, allora a chi importa? Non è stato compromesso, quindi non importa se è lo stesso di quello che era.

D'altra parte, se una password è compromessa, deve essere modificata e non può essere modificata con la stessa password.

In un sistema in cui si distingue tra reimpostazioni di password avviate dall'utente e amministratore / sistema, è possibile consentire agli utenti di utilizzare la stessa password (o rifiutare di reimpostare), mentre si applicano i requisiti della cronologia delle password sui ripristini amministrativi. La maggior parte dei sistemi non esegue questa operazione e tratta tutti i ripristini secondo le regole più rigide, ma non vi sono problemi di sicurezza che consentono agli utenti di scegliere di reimpostare le password non compromesse con la loro password corrente.

Per impedire a un utente di riutilizzare vecchie password significa che devi, nel migliore dei casi, mantenere i vecchi hash in giro. Dal punto di vista della sicurezza, questo può solo ridurre la sicurezza della password poiché aumenta la quantità di informazioni che un utente malintenzionato ha. In caso di violazione del tuo hash DB della password, questo semplifica il lavoro degli aggressori.

Ad esempio, non è raro che le persone iterino le password o riutilizzino le password. Se dovessi mantenere 5 vecchi hash password, e gli hash sono pa $$ word1, pa $$ word2, pa $$ word3, pa $$ word4 e pa $$ word5, se gli hash sono stati compromessi hai ora entrambi hanno aumentato le possibilità di crackare qualsiasi singola password per 5, e hanno anche aumentato le informazioni su quale sia il pattern per la password attiva (ovviamente pa $$ word6).

Questo ha l'ulteriore effetto di ridurre la sicurezza su altri siti web non collegati in cui un utente potrebbe riutilizzare o riciclare vecchie password.

Come altri hanno sottolineato, le regole che circondano le password sono basate su voodoo, ipotesi scarse e non tengono conto dei costi ad esse associati. Evitare agli utenti di riutilizzare le password è un buon esempio di questo.