Dovremmo ripensare alla nostra intera strategia di password? [chiuso]

Naviga le tue risposte
2

Le password vengono discusse molto su questo sito e c'è molto da fare sia per gli utenti che per i siti, per rimanere in linea con le "migliori pratiche".

I siti Web richiedono una politica di sicurezza della password, criteri di blocco degli account e archiviazione sicura delle password con un hash lento e salato. Alcuni di questi requisiti hanno impatti sull'usabilità, negazione dei rischi di servizio e altri inconvenienti. E generalmente non è possibile per gli utenti sapere se un sito fa effettivamente tutto questo (quindi plaintextoffenders.com).

Gli utenti dovrebbero scegliere una password strong che sia unica per ogni sito, cambiarla regolarmente e non scriverla mai. E verifica attentamente l'identità del sito ogni volta che inserisci la tua password. Non penso che nessuno in realtà lo segua, ma è la supposta "migliore pratica".

Negli ambienti aziendali di solito c'è un sistema single sign-on piuttosto completo, che aiuta in modo massiccio, poiché gli utenti hanno solo bisogno di una buona password di lavoro. E con una sola autenticazione da proteggere, usare multi-factor è più pratico. Ma sul web non abbiamo il single sign-on; ogni tentativo da Passport, attraverso SAML, OpenID e OAuth non è riuscito a ottenere una massa critica.

Ma c'è una tecnologia che si presenta agli utenti proprio come il single sign-on, e che è un gestore di password con integrazione del browser. La maggior parte di questi si può dire di generare una password unica e sicura per ogni sito e ruotarla periodicamente. Questo ti tiene al sicuro anche nel caso in cui un determinato sito web non stia seguendo le migliori pratiche. E l'integrazione del browser lega una password ad un dominio particolare, rendendo il phishing tutto tranne impossibile Per essere onesti, ci sono dei rischi con i gestori di password "mettere tutte le uova in un paniere" e sono particolarmente vulnerabili al malware, che è la più grande minaccia in presenti.

Ma se guardiamo alla tecnologia a nostra disposizione, è abbastanza chiaro che il consiglio attuale sta abbaiando dall'albero sbagliato. Dovremmo dire agli utenti di utilizzare un gestore di password, non ricordare un sacco di password complesse. E i siti potrebbero semplicemente archiviare un hash veloce non salato della password, dimenticare le regole di sicurezza della password e i blocchi degli account.

    
posta paj28 17.06.2014 - 20:54
fonte

4 risposte

5

Discuterei che cambiare le password regolarmente è davvero una "best practice". È più una "pratica diffusa" che può essere ricondotta a procedure militari risalenti, almeno, ai tempi di Giulio Cesare. L'applicabilità ai sistemi informatici è, nel migliore dei casi, discutibile.

I gestori di password sono perfetti e dandy, ma in realtà sono in disaccordo con il principio fondamentale delle password: una password è qualcosa che si inserisce nel cervello dell'utente. Affidarsi a un gestore di password è un cambio di paradigma. Per affermare semplicemente le cose, non si autentica più utente umano , si autentica lo smartphone dell'utente . Questo può essere considerato come adatto ai tempi moderni; anzi, sembra che le appendici tecnologiche quadrate si siano fuse con i loro ospiti, e molti umani non possono più essere considerati completamente definiti, per non dire felici, se privati del loro gadget preferito. Eppure questo è un cambiamento di cui dovremmo essere consapevoli e che richiede una riflessione approfondita.

Dal puro punto di vista della sicurezza, il gestore delle password implica un'estensione delle responsabilità dell'utente: con una password, l'utente deve mantenere segreta la password e non scriverla o rivelarla; con un gestore di password, l'utente deve mantenere anche l'integrità del sistema di gestione di password manager. In molti casi, questo non cambia molto (se il computer dell'utente è infetto, un keylogger prenderà comunque tutti i dati), ma lo spostamento non è del tutto trascurabile. Questo può essere visto da un punto di vista usabilità : una password-in-brain viaggia naturalmente con l'utente; un gestore di password implica una dipendenza con alcune procedure software e di sincronizzazione.

Inoltre, come spiega @schroeder, raccomandare un prodotto reale è una questione delicata; sembrerebbe un'approvazione e complicherà le cose quando il prodotto scompare, sia per mancanza di supporto, sia in modo più spettacolare come TrueCrypt.

    
risposta data 17.06.2014 - 22:20
fonte
3

Non sono sicuro del motivo per cui hai l'impressione che le casseforti non siano raccomandate. Ad esempio, Microsoft ha Credential Manager in Windows , Bruce Schneier open-source "Password Safe" , McAfee vende LiveSafe e Norton markets Identity Safe . Queste sono tutte entità di sicurezza e ci sono molte altre opzioni sicure per la sicurezza se si cerca su Internet.

Tuttavia, le casseforti per le password hanno le loro sfide, compresa quella che hai citato (cioè se qualcuno compromette la tua macchina, tutte le password sono compromesse.) La mia avversione personale è perché ho più dispositivi e non mi fido della sincronizzazione sicura tra quelli dispositivi. Né voglio essere bloccato su un terminal dell'aeroporto senza poter accedere a uno dei miei account per ritirare il mio itinerario perché non conosco più la mia password.

    
risposta data 17.06.2014 - 22:22
fonte
2

Hai ragione che un gestore di password completamente integrato funziona come soluzione SSO de facto per un individuo, ma i rischi sono uguali. Una volta che qualcuno ottiene l'accesso al gestore di password, hanno le chiavi del regno.

Inoltre, è difficile consigliare un determinato prodotto per questa implementazione. È facile suggerire un approccio, ma una volta che inizi la discussione su "hai bisogno di un prodotto", allora devi essere in grado di rispondere al follow up di "quale prodotto?" Ogni prodotto presenta i propri rischi e non esiste un modo standard per gestirli. Quale potrebbe essere una discussione migliore è un metodo standardizzato di progettazione e implementazione di un gestore di password personale, proprio come abbiamo per i framework SSO. Sono personalmente a favore della comunità della sicurezza che fa questo.

A causa di questa responsabilità extra introdotta dal raccomandare prodotti specifici, è forse "meglio" raccomandare una password complessa per ciascun sito e far gravitare gli utenti sui gestori di password da soli.

    
risposta data 17.06.2014 - 21:03
fonte
2

Vedo una domanda "Dovremmo ripensare alla nostra intera strategia di password?" Se la risposta è "usa un gestore di password", direi di sì, ma questo non è classificato come "ripensamento" per me.

Sui gestori PW: "mettere tutte le uova nello stesso paniere" può essere sconfitto tramite postfixing. Per tutti i miei siti finanziari e altri siti ad alto rischio le mie password hanno 2 parti: 1 'parte strong' che è memorizzata e compilata dal gestore PW e un postfix che memorizzo ed è la stessa per tutti i siti che ne hanno bisogno. Quindi sì, devo memorizzare 2 passphrase: uno per il vault e il postfix per alcuni.

Aggiungerei "integrazione app" oltre a "integrazione browser": sono richieste sempre più password dalle app, anche app come Skype su Windows. E soprattutto: supporto per i client di posta elettronica durante il download / la lettura di e-mail. (se qualcuno ottiene la password e-mail ("trova" il tuo laptop o telefono), molte password nel tuo vault possono essere ripristinate da una procedura di reimpostazione della posta elettronica). L'integrazione con le app è ancora una sfida, credo.

    
risposta data 17.06.2014 - 23:22
fonte

Leggi altre domande sui tag

Client SSL HTTPS minimo in C [chiuso] Le informazioni sul fuso orario sono salvate nei file?