La prevenzione del riciclaggio delle password aumenta o danneggia la sicurezza generale?

Le reimpostazioni di password forzate rendono le password peggiori, a meno che gli utenti non siano istruiti diversamente (che può essere non banale, specialmente nello spazio Windows aziendale).

I password cracker conoscono molto bene la maggior parte degli schemi comuni che gli utenti utilizzano di fronte al ripristino forzato periodico (incrementando un numero, "Spring2018!" per far corrispondere il ciclo di 90 giorni, ecc.). I password cracker hanno molti strumenti per sfruttare rapidamente questi modelli. "[Stagione corrente] [anno corrente]!" è letteralmente una delle prime password che pentesters e cracker proveranno. Per questo motivo, le reimpostazioni forzate sono una cura comprensibile ma alla fine sbagliata.

La vera soluzione è una combinazione di educazione degli utenti (insegnare agli utenti di usare passphrase casuali) e tecnologia migliorata (UX migliorata per fornire un feedback immediato su esattamente perché una password proposta è probabilmente sbagliata e, soprattutto, suggerisce strategie alternative).

Dal punto di vista dell'applicazione web, l'UX migliorata è possibile oggi, ma non sono presenti valide implementazioni di riferimento di cui sono a conoscenza. (Probabilmente dovremmo farne uno!) Ma la tua domanda è quasi certamente guidata da un caso di utilizzo aziendale, poiché la maggior parte dei siti Web non impone la rotazione della password su base pianificata.

Per l'accesso interattivo a Windows (il caso d'uso aziendale più comune), esistono vincoli a livello di sistema operativo (passfilt.dll) su come UX può essere utilizzato per fornire un feedback specifico della password all'utente. Quindi l'ecosistema Windows sta rendendo difficile aiutare gli utenti aziendali a scegliere password sicure (il che è un peccato, perché le password NTLM sono uno dei formati hash più veloci / più facili da decifrare!)

La teoria è che una password non dovrebbe essere indovinabile (non nei dizionari comuni), dovrebbe essere resistente agli attacchi di forza bruta (abbastanza a lungo), dovrebbe essere specifica (non comune a siti non collegati), dovrebbe essere cambiata regolarmente (per prevenire navigazione a spallamento ), e mai riutilizzato perché ciò avrebbe vanificato la precedente regola. E l'utente dovrebbe essere in grado di ricordarlo ...

Quindi tutte quelle dannate regole per le password hanno senso, compresa la prevenzione del riciclaggio delle password. Il problema è che i semplici mortali non sono bravi a trovare buone password. In questo senso, questa regola è la più difficile da accettare per gli utenti, perché trovare una password accettabile è difficile, 2 o 3 richiede coraggio e coerenza, più di 10 all'anno è semplicemente impossibile. Si spera che in genere venga implementato memorizzando gli ultimi hash tranne l'ultimo richiesto contemporaneamente a quello nuovo. Quindi avere 2 password non correlate e aggiungere semplicemente un numero è sufficiente per soddisfare questo requisito.

La buona notizia è che basta proteggersi da alcune minacce: se un utente malintenzionato ha mai avuto un database di password con hash e potrebbe decifrare alcune di esse, gli schemi di hash delle password decenti non permettono di indovinare che una singola lettera è stata cambiata, quindi l'attaccante non ha motivi particolari per concentrarsi su quella password. La cattiva notizia è che se un utente malintenzionato ha trovato FooBar1 come password e l'attacco è supervisionato dall'uomo, è probabile che testino FooBar2, 3, ecc.

Così come per le altre regole, chiude alcune minacce a scapito dell'esperienza utente, e comunque non è un proiettile d'argento. Può aiutare, a condizione che gli utenti siano istruiti sul perché e come (*).

L'unico caso d'uso in cui sarebbe davvero controproducente sarebbe se un database di vecchia password fosse conservato in una forma invertibile ...

L'educazione degli utenti è essenziale per la sicurezza, perché se non riescono a capire il perché, cercheranno semplicemente di passare le regole e di avere la password scritta su un foglio, insieme al nome utente ...

Questo documento di alcune persone di CMU parla del riutilizzo della password e del suo comportamento: link

Esprimono "I nostri risultati mostrano che il riutilizzo della password, sia in modo esatto che parziale forma-è estremamente dilagante. I partecipanti al nostro studio hanno password per 26.3 domini web in media, e sembrano trattare con il problema di creare e richiamare queste password di riutilizzando parzialmente o esattamente circa l'80% delle password tra domini. "

Alla tua domanda se riutilizzare o meno le password ti rende più o meno sicuro. Devo dire che ti rende meno sicuro. Se un utente malintenzionato accede a un dump della password sul sito X e prova le sue credenziali sul sito Y e hai riciclato una password per l'autore dell'attacco.

Nel documento "L'effetto domino della riutilizzazione della password" link supportano questo detto: "Se gli utenti hanno molti account protetti da password e riutilizzano a password su più di un account, guadagnando un hacker l'accesso a un account potrebbe essere in grado di accedere a altri. Se, per esempio, un hacker ottiene l'accesso a un punto debole file server dipartimentale difeso e quelle password vengono rubati, quelle password potrebbero essere utilizzate per ottenere l'accesso a un sistema aziendale più sicuro. "