raccomandazione per modificare le passphrase delle unità crittografate

2

Esistono numerosi consigli su quanto spesso modificare i passphrase degli utenti e ritengo che la raccomandazione NIST più recente sia "non c'è tempo minimo per cambiare la password" (potrei sbagliare a citare). Le raccomandazioni e la logica sono le stesse per le passphrase delle unità crittografate?

Ad esempio, LUKS cryptsetup ha diversi scomparti per le singole pass-phrase, ognuna delle quali può decrittografare la chiave master per l'unità. C'è un sacco di documentazione su come per cambiare la frase segreta: aggiungi una nuova passphrase a un raccoglitore non utilizzato, verifica che funzioni, quindi cancella / sovrascrivi il precedente passphrase. Ma non riesco a trovare la documentazione che suggerisca con quale frequenza questo dovrebbe essere fatto.

    
posta r2evans 02.05.2018 - 22:37
fonte

1 risposta

2

Se non c'è motivo di sospettare che la password sia nota o possa essere ragionevolmente indovinata da qualcun altro, non c'è motivo di cambiarla.

La password è o potrebbe essere nota a qualcun altro:

  • è stato rubato, o indovinato o sottoposto a violenze
  • noti strani cambiamenti nei tuoi account o righe sospette nei tuoi log, ecc. quindi qualcuno potrebbe usare la tua password
  • la tua macchina è stata infettata, quindi qualsiasi password che hai digitato ultimamente potrebbe essere stata rubata
  • è stato distribuito ad altre persone di proposito (ad esempio per ottenere supporto, ecc.)

La password può essere ragionevolmente indovinata (password debole o indebolita):

  • un utente malintenzionato ha rubato un hash della tua password, oppure ha rubato un file crittografato con la tua password (può rinforzarlo più facilmente con hardware e software dedicati)
  • si utilizza una password debole o si utilizza addirittura la password predefinita fornita dal servizio o dal dispositivo
  • sei costretto a usare una password debole (come un PIN numerico) che potrebbe essere bruta in un tempo ragionevolmente breve, quindi devi cambiarla regolarmente per rendere difficile l'accesso continuo da parte dell'attaccante
  • usi la stessa password per due o più scopi diversi e questo rende più probabile il furto o l'intuizione

Quindi, per un HDD criptato, per esempio, questo significa che dovresti cambiare la password se sospetti che il tuo ficcanaso, che sta sempre guardando la tua tastiera, lo abbia visto o sia stato finalmente in grado di capirlo. O per esempio, dovresti cambiarlo se qualcuno in qualche modo ruba una copia del tuo HDD (potrebbe anche essere una copia di backup), perché in tal caso l'hacker può provare a implementarla in modo molto più semplice (con software o hardware specifici). Se finalmente trovano la password, saranno in grado di leggere tutti i tuoi dati nella copia rubata dell'HDD, ma almeno non possono tornare indietro e usare quella stessa password per leggere facilmente tutto il tuo HDD (perché hai cambiato la password) . Ancora un altro esempio: dovresti cambiare la password del tuo HDD se stai usando la stessa password del tuo WIFI, e stai dando la tua password WIFI a tutti i tuoi amici in modo che possano accedere a Internet da casa tua. Ovviamente quelle password dovrebbero essere diverse.

    
risposta data 03.05.2018 - 02:16
fonte

Leggi altre domande sui tag