it-swarm-vi.com

Làm thế nào để thay đổi mật khẩu của bạn cứ sau 90 ngày làm tăng tính bảo mật?

Nơi tôi làm việc, tôi buộc phải thay đổi mật khẩu của mình sau mỗi 90 ngày. Biện pháp bảo mật này đã được áp dụng ở nhiều tổ chức miễn là tôi có thể nhớ. Có một lỗ hổng bảo mật hoặc tấn công cụ thể nào mà điều này được thiết kế để chống lại, hoặc chúng ta chỉ đang làm theo quy trình bởi vì "đó là cách nó luôn được thực hiện"?

Có vẻ như việc thay đổi mật khẩu sẽ chỉ khiến tôi an toàn hơn nếu có ai đó đã có trong tài khoản của tôi.

Câu hỏi này là Câu hỏi bảo mật CNTT trong tuần.
[.__.] Đọc ngày 15 tháng 7 năm 2011 mục blog để biết thêm chi tiết hoặc gửi câu hỏi của riêng bạn Câu hỏi trong tuần.

576
Bill the Lizard

Khi người dùng của bạn là con người, nó không nhất thiết phải tăng tính bảo mật.
[.__.] Xem bài viết FTC " Thời gian để suy nghĩ lại thay đổi mật khẩu bắt buộc " bởi Giám đốc công nghệ Lorrie Cranor, dựa trên nghiên cứu về cách con người thực sự sử dụng các hệ thống này. (Bảo hiểm của Washington Post tại đây .)

Ngoài ra, như đã thảo luận trong blog bảo mật Sans , "Một trong những nguyên tắc chính của việc thay đổi hành vi là [để] tập trung vào một số hành vi ít nhất giải quyết rủi ro lớn nhất." Chi phí yêu cầu thay đổi mật khẩu được chi tốt hơn cho việc dạy người dùng sử dụng mật khẩu mạnh, độc đáo và/hoặc quản lý mật khẩu/xác thực đa yếu tố. Ngoài ra, các lợi ích của việc thay đổi mật khẩu đã từ chối rằng các cuộc tấn công có thể và thường xảy ra nhanh hơn nhiều so với các cuộc tấn công thủ công kéo dài, chậm mà thay đổi mật khẩu có thể giúp cắt đứt.

4
WBT

Cá nhân tôi không nghĩ rằng việc thực thi hết hạn mật khẩu đối với người dùng văn phòng (hoặc, những người hầu như không quen với việc sử dụng máy tính, nói gì đến an ninh mạng) là một ý tưởng hay trong hình thức như được thực hiện trong nhiều tổ chức. Như đã lưu ý ở trên, lỗ hổng bảo mật chính trong trường hợp này là những người dùng văn phòng đó chỉ cần viết mật khẩu của họ lên các ghi chú dán và dán chúng vào màn hình của họ hoặc dán chúng vào bàn của họ. Hoặc, nếu người đó "cao cấp" hơn một chút, họ có thể bắt đầu sử dụng mật khẩu, chẳng hạn như letmeinMONTHYEAR.

Tuy nhiên, hết hạn mật khẩu định kỳ là một điều tốt, một khi nó được kết hợp với quản lý mật khẩu thích hợp. Rõ ràng là hầu hết mọi người (không hiểu biết) sẽ không thể nhớ mật khẩu thực sự an toàn - đại loại như v^i77u*UNoMTYPGAm$. Vậy chúng ta nên làm gì?

Cá nhân tôi sử dụng trình quản lý mật khẩu theo dõi tất cả mật khẩu của mình, ngoại trừ một mật khẩu chính. Điều này thực sự đơn giản hóa mọi thứ và làm cho chúng an toàn hơn (với điều kiện mật khẩu chính của tôi được bảo mật và tôi có thể dễ dàng kể lại để đăng nhập vào trình quản lý mật khẩu.) Có một số trình quản lý mật khẩu thương mại, tôi sẽ cho phép bạn khám phá và kiểm tra chính mình Cá nhân tôi sử dụng Lastpass miễn phí cho sử dụng chung và an toàn. Nó có sẵn thông qua trình duyệt web và cũng có thể được cài đặt dưới dạng một ứng dụng trên điện thoại thông minh hoặc máy tính bảng của bạn. Đối với những lo ngại về bảo mật khi để giải pháp của bên thứ ba quản lý tất cả mật khẩu của bạn, tôi dựa vào việc kiểm tra được thực hiện bởi Steve Gibson. Bạn có thể xem phiên bản đầy đủ của nó tại đây .

4
MikeF

Nếu mật khẩu hợp lý mạnh được sử dụng thì không. Mật khẩu có thể cần phải được thay đổi thường xuyên nếu cuối cùng chúng có thể bị bẻ khóa ngoại tuyến nếu kẻ tấn công đã tìm cách trích xuất băm từ cơ sở dữ liệu. Tuy nhiên, việc thực thi thay đổi mật khẩu có vẻ là một hình thức bảo mật yếu khi người dùng nên được khuyến khích chọn mật khẩu mạnh, ví dụ dựa trên cụm mật khẩu dài.

Không được giáo dục về bảo mật mật khẩu, hầu hết người dùng sẽ không chọn mật khẩu mạnh nên giới hạn thay đổi 90 ngày được thiết kế để bảo vệ các tài khoản này. Vì những người dùng này không hiểu hoặc không quan tâm đến tính bảo mật của tài khoản của họ, nên họ có thể chọn một mật khẩu yếu khác có thể dựa trên mật khẩu cũ của họ (có nghĩa là kẻ tấn công có thể bẻ khóa mật khẩu cũ và sau đó sử dụng các biến thể của tài khoản đó trong một cuộc tấn công trực tuyến) . Sử dụng chính sách 90 ngày kết hợp kiểm tra sự giống nhau của mật khẩu mới với mật khẩu cũ có thể được coi là trợ giúp. Mật khẩu của người dùng khác sẽ khó bị bẻ khóa hơn, mặc dù nếu kẻ tấn công dành đủ thời gian thì điều này là hoàn toàn có thể - bất kỳ mật khẩu nào có độ mạnh dưới 128 bit có nghĩa là cuối cùng nó cũng có khả năng bị bẻ khóa Kẻ tấn công đặc biệt quan tâm đến một tài khoản cụ thể, điều này có xác suất xảy ra rất thấp.

Một lý do có thể tốt để thay đổi mật khẩu là người dùng thường sẽ lưu mật khẩu ở những nơi không an toàn. Ví dụ: chức năng tự động hoàn tất trình duyệt có thể đã nhớ mật khẩu trên máy tính của một người bạn. Tuy nhiên, đây không phải là ở đây và cũng không có.

Đây là lý do tại sao nó được coi là thực hành tốt để thay đổi chúng thường xuyên. 90 ngày phục vụ cho mẫu số chung thấp nhất. Bất kỳ người dùng nào sử dụng mật khẩu mạnh được tạo bằng trình tạo mật khẩu sẽ gặp rắc rối tối thiểu để họ thay đổi mật khẩu để chính sách này không gây ra sự cố đáng kể. Tôi có thể hiểu người dùng có nhiều tài khoản với chính sách này sẽ bị làm phiền.

Một lý do nữa để thay đổi mật khẩu của bạn thường xuyên là các thuật toán lưu trữ mật khẩu như bcrypt và các hàm dẫn xuất khóa khác có số lần lặp, có thể tăng lên để tăng hệ số công việc như Định luật Moore nắm giữ. Nhập mật khẩu mới tạo cơ hội cho hàm băm mật khẩu được lưu lại với nhiều lần lặp hơn hoặc toàn bộ thuật toán băm được cập nhật khi tư thế bảo mật của hệ thống tăng lên. Ví dụ: nếu trang web ban đầu lưu trữ mật khẩu Cleartext, sau đó được di chuyển sang SHA-1, sau đó SHA-1 bằng muối, sau đó là bcrypt, hành động thay đổi mật khẩu thường được sử dụng như một cơ hội để cập nhật định dạng được lưu trữ cho người dùng này trong cơ sở dữ liệu.

Lưu ý rằng thay đổi mật khẩu không bắt buộc về mặt kỹ thuật, chỉ là nhiều hệ thống sẽ viết lại mật khẩu để lưu trữ vào thời điểm này, tuy nhiên họ cũng có thể thực hiện việc này khi đăng nhập thành công vì mật khẩu Cleartext cũng sẽ có sẵn tại thời điểm này. Buộc thay đổi mật khẩu sẽ giúp ích trong những trường hợp này và cũng có lợi thế là nếu có bất kỳ lỗ hổng rò rỉ mật khẩu nào chưa được phát hiện trên trang web (ví dụ: SQL tiêm) thì mật khẩu sẽ được thay đổi thành một thứ an toàn hơn cũng như định dạng băm cập nhật. Lưu ý rằng việc buộc thay đổi mật khẩu không giúp cập nhật tài khoản không hoạt động, đó là lý do tại sao một số tiêu chuẩn cho rằng tài khoản không hoạt động bị vô hiệu hóa sau một khoảng thời gian (ví dụ: PCI sau 90 ngày) - nếu mật khẩu cũng được lưu trữ ở định dạng nào đó trong DB cũng được khuyến nghị rằng điều này được làm trống trong trường hợp người dùng đã sử dụng lại ở nơi khác và sau đó nó bị rò rỉ.

3
SilverlightFox

Tôi có xu hướng đồng ý rằng đây chủ yếu là một yêu cầu dựa trên sự tuân thủ với tối đa là sự gia tăng an ninh ròng cận biên (không may là chi phí đáng kể do mất khả năng hoạt động, do người dùng hợp pháp bị khóa sau 90 ngày, máy liên lạc giữa các máy không thành công vì mật khẩu của chúng đã hết hạn và không ai cập nhật chúng, hãy gọi tới Bộ phận Trợ giúp để giải quyết các vấn đề đặt lại mật khẩu, v.v.).

Điều đó đã được nói, có những lý do hợp lệ để thực thi một chính sách như vậy (mặc dù - những lời biện minh này đã giảm đi rất nhiều bởi thời gian hiệu lực tương đối dài cho một mật khẩu cụ thể ... sau tất cả nếu một kẻ lừa đảo trên mạng nhận được mật khẩu của bạn trong 90 ngày, có rất nhiều thiệt hại mà người đó có thể làm).

Ưu điểm lớn nhất đến trong kịch bản sau:

  1. Bạn bị hack hoặc bị xâm phạm, và kẻ lừa đảo trên mạng tìm ra tên người dùng và mật khẩu của bạn.

  2. Nó xảy ra ở gần khoảng thời gian "ngưỡng thay đổi" (thường là - cuối quý và đừng nghĩ kẻ gian trên mạng không biết điều đó).

  3. Bạn được yêu cầu thay đổi mật khẩu "cũ" của mình (điều mà cả bạn và kẻ lừa đảo trên mạng đều biết).

  4. Bạn làm theo chính sách của Công ty và thay đổi mật khẩu của mình, nghĩa là bây giờ kẻ gian mạng lại bị khóa. Anh ấy hoặc cô ấy có thể cố gắng sử dụng các phương pháp tương tự như trước đây, để có được quyền truy cập trái phép vào thông tin này ... nhưng làm như vậy có thể gây phiền nhiễu và tốn thời gian.

Vấn đề ở đây là, "thay đổi mật khẩu của một người thành một thứ mới", không phải là điều mà một tội phạm mạng thường sẽ làm, bởi vì theo quan điểm của người đó (tất nhiên, trừ khi, mật khẩu Hijack thực sự là một loại Từ chối- Tấn công dịch vụ), thay đổi mật khẩu và khóa chủ sở hữu hợp pháp (bản gốc) khỏi tài khoản, sẽ ngay lập tức cảnh báo cho người dùng hợp pháp rằng có điều gì đó không mong muốn, đang diễn ra.

Điều này là trên hết thực tế là tội phạm mạng thường chiếm đoạt hàng ngàn mật khẩu cùng một lúc; thay đổi tất cả những thứ này, đặc biệt là vì chúng có thể không có quyền truy cập vào các hệ thống back-end được thiết lập để cho phép người dùng hợp pháp thực hiện việc này, có thể là một nhiệm vụ khó khăn.

Không có điều nào ở trên được viết mà bỏ qua thực tế là những kẻ lừa đảo trên mạng thường sẽ thiết lập tài khoản đặc quyền của riêng họ, thời điểm họ truy cập trái phép vào hệ thống của bạn hoặc có nghĩa là bỏ qua các điểm yếu tiềm năng khác trong "90 ngày bắt buộc thay đổi mật khẩu "mô hình rất phổ biến những ngày này. Hãy nghĩ về quy tắc này như một yếu tố (nhỏ) trong chiến lược phòng thủ nhiều lớp của bạn, và bạn sẽ thấy rằng nó có một vị trí ... nhưng chắc chắn đó không phải là thứ mà bạn nên dựa vào, để tránh những kẻ xấu.

3
user53510