dati
L'articolo del Wall Street Journal dice:
The problem is the advice ended up largely incorrect, Mr. Burr says.
Change your password every 90 days? Most people make minor changes
that are easy to guess, he laments.
In questo contesto, i "90 giorni" sembrano essere il suo riassunto corrente di ciò che è stato messo in atto come risultato delle sue raccomandazioni 15 anni fa. Non lo leggo citando il NIST 800-63 v1.0 come detto "90 giorni" ovunque. E quando guardiamo l'articolo di Verge, che sembra essere basato sull'articolo di WSJ, lo hanno cambiato in:
Even worse, Burr suggested people should change passwords regularly,
at least every 90 days.
Non lo capisco dalla citazione originale, e penso che sia una rappresentazione errata della citazione originale.
Quindi diamo un'occhiata alla versione "originale", o almeno, la più antica che riesco a trovare: NIST SP 800-63 Versione 1, settembre 2004 . (Un elenco di molte versioni è disponibile da NIST ).
L'Appendice A non contiene alcun riferimento a 90 giorni. Contiene un riferimento a 90 anni :
Such a lock out would suffice to limit automated attacks to 3 trials a
minute and it would take about 90 years to carryout 2^25.5 trials. If
the system required that password authentication attempts be locked
for one minute after three unsuccessful trials and that passwords be
changed every ten years, then the targeted password guessing attack
requirements of level 2 would be comfortably satisfied.
E dimostra come l'entropia di una password e le condizioni di blocco possono essere utilizzate per calcolare quanto una password è suscettibile alla forzatura bruta online:
For example, consider a system that required passwords to be changed
every two years and limited trials by locking an account for 24 hours
after 6 successive failed authentication attempts. An attacker could
get 2 ´ 365 ´ 6 = 4,380 attempts during the life of the password and
this would easily meet the targeted attack requirements of level 2.
Se cerchi parole chiave come "modifica", "rotazione", "ora", "giorno", "mese" non troverai alcun consiglio specifico che indichi che le password devono essere cambiate ogni 90 giorni.
Questi sono i dati che abbiamo. Ora:
PARERE
L'appendice A di SP 800-63 v1 spiegava l'idea di entropia come un aspetto misurabile delle password, descriveva modi in cui più entropia poteva essere impiegata in stringhe di password di lunghezze date, e creava una connessione tra tempi di password accettabili basati su ipotesi medie con vincoli online.
In pratica, un sacco di persone l'hanno guardato e hanno detto "Ok, quindi imposteremo i requisiti di complessità della password e richiederemo la rotazione, e saremo A-Okay!"
Col senno di poi, questo è stato deplorevole, per i seguenti motivi:
- Ha discusso degli attacchi brute force online, dove i ritardi possono rallentare notevolmente gli attacchi. La combinazione tra la legge di Moore e gli attacchi di forza bruta offline ha distrutto quelle supposizioni come una tigre con una scatola di kleenex al gusto di capra.
- Aveva l'effetto complessivo di enfatizzare password brevi e complesse, proprio perché si concentrava sull'esplorazione della loro matematica. Ma il punto è che l'Appendice stessa sapeva che non era preferibile! Diceva "... molte persone potrebbero preferire di memorizzare un relativamente lungo" pass-frasi "di parole, piuttosto che un più breve,
password più arbitraria. "Avanti veloce oggi, e dove siamo?" Le passphrase sono migliori delle password. "Non è colpa di Burr, le persone lo hanno ignorato.
In sintesi, NIST SP 800-63 v1 potrebbe essere stato dannoso come Burr pensa che fosse - ma non era colpa sua. Le persone hanno tratto conclusioni miopi basandosi su un rapporto che affermava in anticipo la quantità di dati con cui doveva lavorare per formulare raccomandazioni. Al momento era meglio di niente ed è stato il nostro fallimento - scegliere di fare affidamento su di esso, piuttosto che cercare di risolvere la mancanza di dati empirici segnalati dal rapporto.
Su quella nota, ti lascio questa parte dell'intestazione dell'appendice:
Unfortunately, we do not have much data on the passwords users choose
under particular rules, and much of what we do know is found
empirically by “cracking” passwords, that is by system administrators
applying massive dictionary attacks to the files of hashed passwords
(in most systems no plaintext copy of the password is kept) on their
systems. NIST would like to obtain more data on the passwords users
actually choose, but, where they have the data, system administrators
are understandably reluctant to reveal password data to others.
Empirical and anecdotal data suggest that many users choose very
easily guessed passwords, where the system will allow them to do so.