-
I livelli di accettabilità sono determinati sulla base della propensione al rischio di organizzazioni o individui. 2FA non è un proiettile d'argento, e come penna-tester ho intenzione di far scattare qualsiasi scatola che posso (sia che si tratti di amministratore, o meno) e poi lavorare su privilegi di escalation. 2FA non ti proteggerà dai vulns di sistema che possono fornire accesso a SYSTEM
o root
, quindi se ho un punto d'appoggio nella tua rete tramite una workstation compromessa avvierò i servizi di impronte digitali e cercherò di ottenere l'amministratore di dominio. Le workstation compromesse per l'utente finale forniscono anche potenziali punti di riferimento in reti aggiuntive (forse ambienti dev in cui le cose potrebbero non essere altrettanto sicure). Se vuoi rendere la vita più difficile agli attori delle minacce, abilita, se possibile, la 2FA org.
-
Sono disponibili molti elenchi, ma controlla questo GitHub Repo che contiene diversi elenchi di le password più comuni utilizzate. Un avvertimento: sarai scioccato e costernato da quali sono le password più comuni utilizzate ancora .
-
Ancora una volta, la tua lunghezza minima ragionevole dipenderà da ciò che stai cercando di proteggere. In definitiva, come persone di sicurezza, ci piacerebbe vedere password massicciamente lunghe con un'alta entropia diffusa in un'organizzazione, tuttavia ciò potrebbe non essere possibile in molti casi. La sicurezza è importante ma dovrebbe minimamente impedire a un'organizzazione di essere produttiva. Una chiave di decrittazione LUKS per una crittografia completa del disco di un server molto sensibile che viene immessa solo quando il sistema si avvia è probabile che sia molto più casuale. Viceversa, gli utenti finali medi che accedono alla workstation che viene utilizzata ogni volta che desiderano accedere alla propria workstation probabilmente saranno più brevi e molto meno casuali. Nonostante ciò che qualsiasi best practice dice che è necessario trovare il punto debole delle password casuali sicure con l'usabilità.
EDIT re: Rotazione password: il concetto di forzare le persone a cambiare la password è un argomento controverso. Da un lato, obbligandoli a cambiare la propria password potenzialmente attenua gli attacchi di replay delle password. D'altra parte si ottiene la rotazione della password e le modifiche minime (password n. 1, password n. 2, password n. 3) ecc.
È importante capire che Pentesting non è una rappresentazione veritiera dell'esposizione alle minacce per un semplice motivo: il tempo. I test di penetrazione sono impegni temporali limitati, mentre un attacco con un'ascia per macinare ha una finestra di opportunità molto più ampia. Potrei passare due settimane con un cliente, ma una volta che un attaccante ha un punto d'appoggio nella rete non si sa per quanto tempo potrebbero passare inosservati. Se eseguo un pen-test di 2 settimane e dopo un paio di tentativi non riesco ad avere fortuna con gli attacchi di replay della password, probabilmente passerò ad altri vettori di attacco. È più facile per me per XSS o Spear Phish qualcuno che sprechi il potere della CPU sul forzante bruto o che tenti di riutilizzare le password delle persone.
Detto questo, mi piace costringere gli utenti a cambiare le loro password anche se inevitabilmente so che le password verranno riciclate. Se imposto un criterio password per far cambiare la password agli utenti ogni 60 giorni e ricordare le loro precedenti 6 password, so che in un anno ci sono 60 giorni in cui un set di credenziali rubati potrebbe funzionare. Come sysadmin mi piacciono quelle probabilità, come attaccante non lo faccio. Se ci si può fidare degli utenti di usare una password completamente diversa per ogni servizio che usano, allora abbandonare l'adagio vecchio di "Cambiare la password ogni x giorni" diventerebbe fattibile, ma non è altro che un sogno irrealizzabile.
Poiché non c'è modo di imporre al personale l'uso di password univoche su ciascun servizio (almeno in modo non riconoscibile unqiue (ovvero non password1 per la tua email, password2 per il tuo laptop, ecc.) quindi non i criteri per le password sono sempre disponibili in qualsiasi momento.Sapendo che le password verranno riutilizzate, la responsabilità è quindi sull'organizzazione di implementare controlli aggiuntivi (2FA, segregazione rete, rilevamento intrusioni, ecc.) per completare la sicurezza interna.