Только что получил письмо от поставщика, сообщающее нам, что они будут заставлять нас менять пароль каждые шесть месяцев. Мне стало любопытно узнать, какие политики истечения срока действия пароля используют люди и почему они их используют.
Ответ 1
Здесь существует тонкая грань между тем, чтобы никогда не менять его, и тем, чтобы менять его слишком часто. Хранить одни и те же пароли годами – часто не лучшее решение, особенно если они общедоступны. Но принуждение к жесткой политике слишком частой смены паролей также имеет плохие побочные эффекты. Одно место, где я работал, заставляло всех пользователей внутренней сети менять пароли каждую 6-ю неделю, причем пароль не мог быть таким же, как шесть предыдущих паролей. Три неправильных пароля блокировали рабочую станцию, и ИТ-персоналу приходилось разблокировать ее. Это привело к тому, что все писали пароль на стикерах Post-It, которые висели на экране или лежали в ящике стола.
Я бы сказал, что достаточно менять пароль раз в 6 месяцев. Это позволит избежать таких проблем.
Ответ 2
Я бы предложил использовать математические вычисления, учитывающие минимальную сложность вашего пароля, скорость, с которой злоумышленник может угадать пароль, количество незаблокированных учетных записей и некоторую информацию о ваших рисках.
Надеюсь, у вас есть какое-то ограничение скорости угадывания пароля. Обычно это делается с помощью чего-то, что временно блокирует учетные записи после некоторого количества неправильных паролей. И, надеюсь, у вас есть требования к сложности пароля, так что «A» и «password» не допускаются. Допустим, после 30 неудачных паролей за 10 минут вы блокируете учетную запись на 20 минут. Это эффективно ограничивает скорость угадывания пароля до 174 в час, или 4176 в день. Но давайте предположим, что это на одного пользователя. Предположим, что вы требуете пароли из 8+ символов, содержащие символы верхнего и нижнего регистра, цифры, и что вы проводите некоторую проверку по словарю, чтобы убедиться, что эти пароли достаточно случайны. В худшем случае все ваши пользователи вводят один верхний символ и одну цифру в одно и то же место, и атакующий знает это, поэтому у вас есть 10*26^7 (80G) возможных паролей. В лучшем случае – 62^8 (218T).
Таким образом, злоумышленник, перебирающий все возможные пароли, подберет их все за 50 000 лет в худшем случае и почти за 600 миллионов тысячелетий в лучшем. Или, говоря по-другому, в течение одного года у них будет от 1 к 50 000 до 1 к 52 000 000 000 шансов угадать пароль. Если у вас есть пользовательская база в 50 000 человек, то почти гарантировано, что в худшем случае они будут попадать в один аккаунт в год и иметь примерно 50% вероятность попадания в один аккаунт каждые 6 месяцев.
А если у вас нет ограничения скорости и злоумышленник может угадать миллиард паролей в день? Шанс получить доступ к учетной записи за год – один к 600 или практически гарантия того, что из 50 000 пользователей каждый год к вам попадут около 80.
Поработайте над этой математикой и определите, каков ваш приемлемый уровень риска. И помните, что чем короче вы его установите, тем труднее пользователям будет его запомнить и тем больше будет вероятность того, что они запишут его где-нибудь в удобном для злоумышленника месте. В качестве дополнительного бонуса: если кто-то пробует тысячи паролей на пользователя в день против ваших систем, я очень надеюсь, что у вас есть какой-то мониторинг, который это обнаружит.
Ответ 3
Истечение срока действия пароля раздражает и снижает безопасность. Истечение срока действия пароля защищает от ситуации, когда злоумышленник уже однажды скомпрометировал пароль пользователя, но не имеет механизма, позволяющего узнать его на постоянной основе (например, кейлоггер). Однако это также усложняет запоминание паролей, повышая вероятность того, что пользователи будут их записывать. Поскольку защита от уже взломанного пароля не является действительно необходимой, я считаю истечение срока действия пароля бесполезным.
Заставьте пользователей выбрать надежный пароль для начала; поощряйте их запоминать его, а затем не требуйте, чтобы они меняли его, никогда, иначе они будут записывать его повсюду.
Ответ 4
Мы ежегодно продлеваем срок действия паролей и требуем надежных (желательно случайных) паролей длиной более 10 символов. Мы проводим словарные атаки на пароли людей, когда они их меняют. Мы храним хэши паролей прошлых лет, чтобы пароли не могли быть использованы повторно. Мы также проверяем потенциальные даты в пароле.
На прежней работе мы попробовали по указанию нового администратора сетевой безопасности менять пароли чаще – каждые два месяца. Через две недели после первого принудительного изменения я повел его по нашим административным офисам, и мы заглянули под клавиатуры и коврики для мыши. Более 50% из них имели пароль, написанный на стикере. Он был рад ослабить политику после того, как мы сели и поговорили с административным персоналом – их мнение было таково, что у них не было достаточно времени, чтобы запомнить его.
Ресурсы кампуса (редко используемые для большинства людей) находятся в одном месте, и этот пароль управляется нашей центральной ИТ-группой. Ресурсы департамента (используемые ежедневно – вход в машину, электронная почта, редактирование веб-сайта, ксерокс) имеют пароль, управляемый нашей группой, который также истекает ежегодно. Если люди жалуются, что они расстроены, мы указываем, что на самом деле им нужно помнить только один пароль. В наши дни я генерирую md5sum для случайного файла в /var/log и использую его подмножество для своих паролей.
Ответ 5
У нас было много дискуссий по этому поводу пару лет назад, когда мы ввели политику истечения срока действия паролей. Мы только что закончили прогон l0phcract с таблицами против дерева AD, чтобы посмотреть, насколько все плохо, и это было довольно сложно. Невероятное количество пользователей все еще использовали свой «временный пароль» после обращения в службу поддержки или захода для сброса пароля, что-то невероятное, например, 30% использовали «password» или какой-то его вариант (p@$$w0rd и т. д.). Это убедило руководство, что это должно произойти.
Будучи высшим учебным заведением, нам пришлось столкнуться с летними проблемами при выборе интервала. Многие из наших преподавателей не преподают летом, поэтому наша служба поддержки должна была готовиться к звонкам типа: «Я забыл свой пароль», поскольку все они возвращаются в сентябре. Я думаю, и могу ошибаться, что наш интервал составляет 6 месяцев с исключением летнего квартала. Так что, если срок действия пароля 6 месяцев истекает в середине августа, он будет случайным образом перепрограммирован на сброс в конце сентября – начале октября.
Лучше задать вопрос о том, как часто меняются пароли учетной записи администратора. Слишком часто они, похоже, исключаются из политики смены паролей. Кто захочет проходить через все эти сценарии для смены пароля учетной записи пользователя? А некоторые системы резервного копирования затрудняют смену использованных паролей, что создает стимул для смены паролей администраторов.
Security