Frage:
Wie erhöht eine Änderung Ihres Passworts alle 90 Tage die Sicherheit?
Bill the Lizard
2011-06-22 18:36:46 UTC
view on stackexchange narkive permalink

Wo ich arbeite, muss ich mein Passwort alle 90 Tage ändern. Diese Sicherheitsmaßnahme gibt es in vielen Organisationen, so lange ich mich erinnern kann. Gibt es eine bestimmte Sicherheitslücke oder einen bestimmten Sicherheitsangriff, dem dies entgegenwirken soll, oder befolgen wir nur das Verfahren, weil "es immer so gemacht wurde"?

Es scheint, als würde eine Änderung meines Passworts nur dazu führen Ich bin sicherer, wenn jemand bereits in meinem Konto ist.

Diese Frage war IT-Sicherheitsfrage der Woche .
Lesen Sie den Blogeintrag vom 15. Juli 2011 , um weitere Informationen zu erhalten, oder senden Sie Ihre eigene Frage der Woche.

@Bill, danke für diese tolle Frage! Wir lieben es, das Boot zu schaukeln und "akzeptierte Weisheit" in Frage zu stellen ...
Es stellt sicher, dass die Hälfte des Büros Stickies mit ihrem Passwort auf ihrem Monitor oder unter ihrer Tastatur hat.
Eine bessere Frage: Wenn dies erforderlich ist, wie viele dieser Administratoren drehen ihre Dienstkontokennwörter, die normalerweise viel zu viele Berechtigungen haben? Die meisten Orte, an denen ich gearbeitet habe, haben festgelegt, dass diese niemals ablaufen.
Ich hasse diese Regel und habe viel dagegen gestritten. http://blog.damianbrady.com.au/2008/07/02/most-password-policies-are-bad/ für weitere Details (in einem Kommentar für 0 Wiederholungen)
@johnfx, auf jeden Fall. Und wie viele erlauben Ausnahmen für C-Level (insbesondere CIO) und Direktoren (insbesondere IT-Direktor), die verlangen, keine ablaufenden Passwörter zu haben.
Offensichtlich ist es unpraktisch, das Passwort jeden Tag zu ändern. Wenn Sie die Unpraktikabilität gegenüber der Anzahl der Tage und die Erhöhung der Sicherheit gegenüber der Anzahl der Tage in derselben Grafik grafisch darstellen, kreuzen sich die Linien immer nach 90 Tagen, sodass 90 Tage optimal sind :)
Ich habe die IT-Abteilung bei meinem letzten Job davon überzeugt, einen Kompromiss einzugehen. Wir haben die Kennwortablaufrichtlinie zugunsten stärkerer Kennwörter abgeschafft. Alle waren von dieser Entscheidung begeistert, da sie sich tatsächlich an ihr neues Passwort erinnern konnten, ohne es auf ihrem Monitor zu veröffentlichen. Außerdem waren ihre neuen Passwörter sicherer.
Ich habe den IT-Manager in einer Organisation interviewt, und er sagte, als die Richtlinien für Passwörter gelockert wurden, verschwanden die gelben Notizen.
Siehe auch [Sollten Kennwörter ablaufen?] (Http://ux.stackexchange.com/q/72259)
Yahoo beseitigt Passwörter, [ohne Passwort] (http://techcrunch.com/2015/03/16/yahoo-introduces-password-free-login-just-dont-lose-your-phone/). Ich denke, das ist eine bessere Idee. Sie senden Ihnen ein Passwort, das nur 5 Minuten oder X Mal "gut" ist, aber Sie können Ihr Authentifizierungs-Cookie behalten. Es ist also so, als würden Sie Ihr Passwort jedes Mal ändern, wenn Sie sich anmelden.
Ich möchte hinzufügen, dass Benutzer beim Erstellen von Konten auf anderen Websites nicht vorsichtig genug mit ihren Passwörtern umgehen. So hat beispielsweise A über ein neues Passwort X für seine Bankgeschäfte nachgedacht. In einigen Monaten könnte er viel mehr Konten auf viel weniger sicher machen Websites (die kein HTTPS / SECURE HASHING / ... verwenden), auf denen er möglicherweise dasselbe Kennwort verwendet, wodurch er für einen anderen Angriffsvektor anfällig wird. Das Timeout-Kennwort ist eine gute Strategie.
23 antworten:
#1
+348
Justin Cave
2011-06-22 19:50:29 UTC
view on stackexchange narkive permalink

Der Grund, warum Kennwortablaufrichtlinien existieren, besteht darin, die Probleme zu verringern, die auftreten würden, wenn ein Angreifer die Kennwort-Hashes Ihres Systems erwerben und diese beschädigen würde. Diese Richtlinien tragen auch dazu bei, das Risiko zu minimieren, das mit dem Verlust älterer Sicherungen an einen Angreifer verbunden ist.

Wenn ein Angreifer beispielsweise einbricht und Ihre Schattenkennwortdatei abruft, kann er die Kennwörter brutal erzwingen ohne weiteren Zugriff auf das System. Sobald sie Ihr Passwort kennen, können sie auf das System zugreifen und beliebige Hintertüren installieren, es sei denn, Sie haben Ihr Passwort in der Zeit zwischen dem Erwerb der Schattenpasswortdatei durch den Angreifer und dem brutalen Erzwingen des Passwort-Hash geändert. Wenn der Kennwort-Hash-Algorithmus sicher genug ist, um den Angreifer 90 Tage lang abzuhalten, stellt der Kennwortablauf sicher, dass der Angreifer mit Ausnahme der bereits erhaltenen Liste der Benutzerkonten keinen weiteren Wert aus der Schattenkennwortdatei erhält.

Während kompetente Administratoren die eigentliche Schattenkennwortdatei sichern, neigen Organisationen insgesamt dazu, bei Backups, insbesondere bei älteren Backups, nachlässiger zu sein. Im Idealfall würde natürlich jeder mit dem Band, auf dem sich das Backup von vor 6 Monaten befindet, genauso vorsichtig sein wie mit den Produktionsdaten. In der Realität werden jedoch einige ältere Bänder in großen Organisationen unweigerlich verlegt, falsch abgelegt und gehen ansonsten verloren. Richtlinien zum Ablaufen von Kennwörtern begrenzen den Schaden, der entsteht, wenn eine ältere Sicherung aus demselben Grund verloren geht, aus dem sie die Gefährdung der Kennwort-Hashes vom Live-System abschwächt. Wenn Sie eine 6 Monate alte Sicherung verlieren, die vertraulichen Informationen verschlüsseln und alle Kennwörter seit der Sicherung abgelaufen sind, haben Sie wahrscheinlich nur die Liste der Benutzerkonten verloren.

Dies setzt voraus, dass eine Schattenkennwortdatei vorhanden ist. Viele Betriebssysteme haben kein solches Biest.
@david - Sehr wahr, die Schattenkennwortdatei ist ein Unix-Ismus. Die meisten Systeme speichern Kennwort-Hashes irgendwo, wodurch die Möglichkeit besteht, dass jemand den Hash abruft, den Hash offline bricht und dann das geknackte Kennwort verwendet, um das System zu gefährden.
Das Problem ist, dass mit modernen EC / GPU-Setups das Knacken selbst sicherer Passwörter mit lächerlicher Geschwindigkeit sehr billig durchgeführt werden kann. Kombinieren Sie die rohe Brute Force mit Gigabyte an Wortlisten, benutzerdefinierten Zeichensätzen und vorgenerierten Hashes, die Sie nachschlagen können (kostenlos oder sehr günstig). 90 Tage sind ein perfektes Fenster, um Passwörter offline zu knacken.
@Marcin - Richtig. Brute-Force-Hash-Angriffe sind viel schneller geworden, und ältere Systeme mit unsicheren Hash-Algorithmen, die relativ wenige Iterationen ausführen, halten wahrscheinlich 90 Tage lang nicht. Wenn Sie SHA-2 verwenden und Tausende von Iterationen durchführen, sollten Ihre Hashes dagegen stark genug sein, um 90 Tage lang zu halten.
@Marcin: Verwenden Sie immer noch MD5 zum Hashing Ihres Passworts? Wenn ja, dann haben Sie ein anderes Problem.
Wenn Sie davon ausgehen, dass ein Backup durchgesickert ist und der Angreifer Lesezugriff auf das gesamte Dateisystem hat, sollten private ssh-Schlüsseldateien ein viel größeres Problem darstellen als Schattenkennwörter.
Mit anderen Worten, es versucht, einen hypothetischen Angriff zu verhindern (was in diesem Fall bedeutet, dass Sie ohnehin größere Probleme zu lösen haben), eröffnet jedoch eine Vielzahl tatsächlicher, schwerwiegender Sicherheitslücken (Benötigen Sie ein Passwort? Wählen Sie einfach eines aus , sie sind überall verputzt. Oh, und sie verlassen die Firma auch in den Mülleimern. Nicht gültig, sagst du? Nun, dieser Typ hatte das Passwort letmein22011 für das zweite Quartal 2011, frage mich, was sein Passwort ist jetzt...). Kein sehr guter Kompromiss IMNSHO.
Aber ... wenn Sie das Backup erhalten können, brauchen Sie die Passwörter oft nicht! Sie benötigen die Passwörter für eine aktuelle Ansicht des Computerinhalts, aber für viele Mittel ist die ältere Version ausreichend!
Natürlich ist das 6-monatige Backup so gut wie nutzlos, wenn sich niemand an das Passwort erinnern kann, das sie vor 6 Monaten verwendet haben - oder war es das Passwort von vor 8 Monaten ...
@JustinCave http: // ob-security.info / files / oclhc-lite.avi Sehen Sie sich das an. Klingen 15 Milliarden SHA1 pro Sekunde für Sie langsam? MD5 ist 45B / s, also ist SHA1 auch nicht viel langsamer. Der Punkt ist, dass wir unseren Ansatz, zu dem ein durchschnittlicher Angreifer fähig ist, wirklich überdenken müssen. In 90 Tagen kann dieses Setup (einzelner Computer, 8 bullige Grafikkarten, also nicht billig, aber nicht außerhalb der Reichweite einer einzelnen Person) 1,2 * 10 ^ 18 SHA1-Combos knacken. Das sind fast alle oberen, unteren und 10-stelligen Passwörter.
@marcin Sie scheinen falsch zu verstehen, was @Justin sagt. Jeder, der nicht iterierte Passwort-Hashing-Algorithmen verwendet, ist seit über 30 Jahren veraltet. Unix hat bereits 1978 25 Iterationen durchgeführt. Gute Algorithmen verwenden z. Heutzutage 10000 Iterationen, und versuchen Sie zu verhindern, dass der Benutzer Kennwörter auswählt, die leicht zu knacken sind. Siehe [Wie werden Passwörter sicher gehasht? - IT-Sicherheit - Stack Exchange] (http://security.stackexchange.com/questions/211/how-to-securely-hash-passwords)
Ich denke, dass ein plausiblerer Angriff nicht "jemand hat die Schattendatei erworben und die Hashes rückgängig gemacht" ist, sondern "jemand hat die Notiz aus dem Papierkorb des CEO erhalten und seine Anmeldeinformationen gelesen". Wenn der CEO sein Passwort nicht ändert, kann sich der Müllmann ein Jahr nach dem Auffinden der Notiz anmelden.
@nealmcb: Das bedeutet nur, dass Sie die Kosten oder die Zeit des Angriffs erhöht haben. 10.000 Iterationen bedeuten eine lineare Erhöhung der Kosten / Zeit. Bei elastischen Wolken kostet es ungefähr (ungefähr), 1k-Systeme zu verwenden und sie in kürzerer Zeit auszuführen. Nicht billig mit 10.000, aber es hängt vom Dollarwert der Daten ab.
100.000? sha-1 ist ~ 7,5 Millionen Iterationen pro Sekunde auf einer einzelnen GPU, 100.000 oder weniger scheinen ein wenig niedrig zu sein.
@ewanm89: SHA-1 ist sogar noch schneller. Auf einer etwas alten GPU (Nvidia 9800 GTX +, die vor zwei Jahren für etwa 100 US-Dollar gekauft wurde) kann ich 160 Millionen SHA-1 pro Sekunde ausführen. Sogar ein 2,4-GHz-Core2-Quad kann 48 Millionen SHA-1 pro Sekunde ausführen (unter Verwendung von SSE2-Anweisungen).
@Thomas Pornin: Ich sollte dann meine Benchmarks auf meinem GTX-265 und 2,67 GHz Core2Quad erneut ausführen.
"Während kompetente Administratoren die eigentliche Schattenkennwortdatei sichern, neigen Organisationen insgesamt dazu, bei Backups, insbesondere bei älteren Backups, nachlässiger zu sein." . . Aus diesem Grund * kompetente Administratoren * *** BESCHREIBEN SIE IHRE BACKUPS ***. (Es macht mich traurig, dass ich die erste Person bin, die diesen Kommentar in den 18 Monaten seit der Veröffentlichung dieser Antwort hinterlassen hat.)
Die "90 Tage" sind ein Zeichen dafür, dass diese Richtlinie eher von einem Sicherheitsfan als von einem Sicherheitsexperten entwickelt wurde. Warum N Tage? Gibt es einen empirischen Grund dafür? Hat jemand, der eine dieser Richtlinien implementiert, tatsächlich untersucht, welchen Wert N haben sollte, um effektiv zu sein? Nee.
Bitte beachten Sie die Kommentare von Kobi und Jan28 unten. Wenn Sie Forschungsergebnisse wie [Die Sicherheit des Ablaufs moderner Kennwörter: Ein algorithmisches Framework und eine empirische Analyse] (https://www.cs.unc.edu/~reiter/papers/2010/CCS.pdf) berücksichtigen, dann sind wir In den Richtlinien zum Ablaufen des Kennworts wird praktisch kein Wert angezeigt. Ich habe noch niemanden gesehen, der sich für Richtlinien zum Zurücksetzen von Passwörtern einsetzt, die diese Forschung anerkennen.
@TheGreatContini Genau richtig.+1 zu Ihrem Kommentar, -1 zu dieser Antwort.Hier gibt es viele Vermutungen: "Organisationen als Ganzes neigen dazu, bei Backups nachlässiger zu sein" ... willst du mich veräppeln?Arbeiten Sie mit einer Reihe von Inkompetenten?Der Zugriff auf Backups ist wie der Zugriff auf den Computer selbst!Unternehmensdaten sind da drin!Natürlich schützen Organisationen ihre Backups.Zumindest meine!... Nur ein Beispiel für einen Irrtum, den diese Antwort darstellt.-Infinity, wenn ich könnte.
#2
+210
user185
2011-06-22 18:43:00 UTC
view on stackexchange narkive permalink

Ich habe vorher argumentiert, dass es nichts verbessert. Aus diesem Beitrag:

Offensichtlich kennt der Angreifer Ihr Passwort nicht a priori, oder der Angriff wäre keine Brute-Force. Die Vermutung ist also unabhängig von Ihrem Passwort. Sie wissen nicht, was der Angreifer hat, nicht hat oder als nächstes testen wird - alles, was Sie wissen, ist, dass der Angreifer alle möglichen Vermutungen erschöpft, wenn genügend Zeit zur Verfügung steht. Ihr Passwort ist also unabhängig von der Vermutungsverteilung.

Ihr Passwort und die Vermutung des Angreifers über Ihr Passwort sind unabhängig. Die Wahrscheinlichkeit, dass die nächste Vermutung des Angreifers richtig ist, ist dieselbe, auch wenn Sie zuerst Ihr Passwort ändern. Richtlinien zum Ablauf von Kennwörtern können Brute-Force-Angriffe möglicherweise nicht abschwächen.

Warum erzwingen wir Richtlinien zum Ablauf von Kennwörtern? Das ist eigentlich eine sehr gute Frage. Angenommen, ein Angreifer erhält Ihr Passwort.

Das Zeitfenster, in dem diese Bedingung ausgenutzt werden kann, hängt von der Zeit ab, für die das Passwort gültig ist, oder? Falsch: Sobald der Angreifer das Passwort erhalten hat, kann er eine Hintertür installieren, ein anderes Konto erstellen oder andere Schritte unternehmen, um den fortgesetzten Zugriff sicherzustellen. Wenn Sie das Kennwort nachträglich ändern, wird ein Angreifer besiegt, der nicht klar denkt, aber letztendlich sollte eine umfassendere Reaktion eingeleitet werden.

Richtlinien zum Ablauf des Kennworts ärgern unsere Benutzer und helfen niemandem.

Ich würde dem zustimmen, außer in Fällen von Nicht-Administrator-Benutzern. Die meisten Menschen haben wahrscheinlich nicht die Berechtigung, Hintertürkonten usw. zu erstellen. Wenn ich Zugriff auf ein System erhalte, ist es möglicherweise mein Ziel, nicht zu versuchen, es zu übernehmen, sondern Zugriff zu erhalten und Informationen zu stehlen. Solange ich das Kontokennwort habe, kann ich darauf zugreifen, aber ich möchte nichts tun, was verdächtig aussehen könnte (wie das Erstellen eines Kontos). Solange der Benutzer das Passwort nicht ändert, muss ich nicht erneut versuchen, das Konto zu hacken. Das Ändern des Passworts in etwas Unvorhersehbares bedeutet für mich zusätzliche Arbeit.
Das ist einfach falsch. Wir wissen, dass der Angreifer möglicherweise einen Hash Ihres Passworts hat (was in erster Linie der Grund für diese Richtlinie ist) - was ihm im Wesentlichen genügend Zeit gibt, Ihr Passwort zu geben, unabhängig von der Methode, mit der er es knackt. Durch das Ersetzen Ihres Passworts werden die Informationen des Angreifers ungültig. Die obige Antwort fasst es zusammen.
Übrigens werden direkte Brute-Force-Angriffe durch zeitlich begrenzte Authentifizierungsversuche und Captchas bekämpft, nicht durch diese Richtlinie.
Die meisten Benutzer erhöhen eine Zahl am Ende ihres Passworts. Ich habe in einer Bank gearbeitet und ein allgemeines Passwort war der Name der Stadt, gefolgt von der Nummer des aktuellen Monats. Da die meisten Systeme von Natur aus unsicher sind, insbesondere in einer Microsoft Windows-Umgebung, spielt es keine Rolle, ob der Benutzer eingeschränkt ist oder nicht, und es ist höchstwahrscheinlich auch nicht so eingeschränkt.
@Wolf - Die Bank, in der Sie gearbeitet haben, sollte eine bessere Richtlinie zur Wiederverwendung von Passwörtern haben, nach der sich das neue Passwort um mehr als ein oder zwei Zeichen vom alten unterscheiden muss. Und es hätte Passwörter mit einem Wörterbuch vergleichen sollen, damit die Leute keine Eigennamen / Wörter verwendeten.
@Kevin: wie wäre es mit einem Unix-System. Sie gelangen in das Konto eines Benutzers und bearbeiten das Profil so, dass es "alias passwd = $ HOME / .tmp / passwd" enthält, oder stellen $ HOME / .tmp einfach dem $ PATH voran, wobei das passwd unter .tmp ein Shell-Skript ist, das das per E-Mail versendet Passwort für mein Wegwerf-Hotmail-Konto und führt den System-Passwort-Befehl aus? Es sind keine erhöhten Berechtigungen erforderlich, aber es gibt jetzt eine einfache Hintertür, die das Konto gefährdet.
@Sheeo direkte Brute-Force-Angriffe können nicht mit CAPTCHAs bekämpft werden - "zeitlich begrenzte Authentifizierungsversuche" (d. H. Drosselungs- und Sperrrichtlinien) können nur die Aufgabe übernehmen.
Zu Kommentaren, die zum Schutz vor Offline-Brute-Force-Angriffen gegen Ihre Passwort-Hashes dienen sollen: Ihr Verzeichnisserver ist wahrscheinlich wertvoller. Ich würde versuchen, meinen Benutzern zu helfen, indem ich die Exfiltrationserkennung auf diesem System einsetze.
@Kevin: "Hintertür installieren" bedeutet nicht, ein Konto zu erstellen. Das Hinzufügen einer Zeile zu `~ / .ssh / authorized_keys` könnte ausreichen.
Die Wiederverwendung von @dannysauer:-Passwörtern kann die Wiederverwendung genau desselben Passworts verhindern. Es kann nicht erkennen, dass es sich nur um ein oder zwei Zeichen unterscheidet, vorausgesetzt, es handelt sich um eine sichere Hash-Funktion. Sie glauben nicht, dass die Passwörter im Klartext gespeichert sind, sodass Sie sie mit dem neuen vergleichen können, oder?
@AviD ♦ Uhh. Wieso das? CAPTCHAs sind so konzipiert, dass keine automatisierte Eingabe möglich ist. Wenn das Captcha also gut genug ist, wird es einen direkten Brute-Force-Angriff sicher abwehren.
@Sheeo wir fangen hier wirklich an, offtopic zu werden, CAPTCHAs sind ein großes Thema für sich. Es gibt hier bereits einige Fragen, die dies diskutieren ... Aber meine Behauptung, kurz gesagt - CAPTCHA löst das falsche Problem schlecht.
@graham Zum größten Teil stimme ich zu, dass das einfache Erzwingen einer Kennwortänderung alle 90 Tage wenig oder gar nichts zur Verbesserung der Sicherheit beiträgt. Wenn dies jedoch durch ein gutes Algaritham ergänzt wird, um bei jeder Änderung ein eindeutiges Kennwort zu erzwingen (dh keine inkrementelle Neuordnung), kann dies dazu beitragen, die Anfälligkeit Ihres Unternehmens für den Zugriff über komprimierte Kennwörter auf anderen Websites zu verringern. Obwohl ich nur an einem Ort gearbeitet habe, der so etwas wie diese Art von Politik hatte.
@BenVoigt Während einer Kennwortänderung werden Sie normalerweise sowohl zum alten als auch zum neuen Kennwort aufgefordert. Sie haben also beide zur Verfügung und können auf Ähnlichkeit prüfen.
@BenVoigt Sie können Permutationen des neuen Klartext-Passworts vornehmen, diese hashen und den Hash mit dem alten Passwort-Hash vergleichen. Es ist nicht sehr schnell oder effizient, wenn Sie mehr als beispielsweise 10 oder so Permutationen überprüfen. Aber für kleine Sets könnte es funktionieren. Wenn das neue Kennwort beispielsweise "portland11" lautet, können Sie "portland10" hashen und vergleichen, um festzustellen, ob die Nummer des vorherigen Kennworts erhöht wird.
@MartinCarney: Wir haben dieses Gespräch bereits vor 4 Jahren geführt (http://security.stackexchange.com/questions/4704/how-does-changing-your-password-every-90-days-increase-security/4705? noredirect = 1 # comment8346_4709)
@BenVoigt Heh. Das bekomme ich, wenn ich nur einige der Kommentare lese.
Diese Antwort lautet BS. Kennwortablauf hilft gegen Offline-Bruteforce-Angriffe. Natürlich nicht gegen Online-Bruteforce-Angriffe (da dort die Wahrscheinlichkeit tatsächlich gleich ist), aber es gibt andere Gegenmaßnahmen auf dieser Ebene (z. B. Kontosperrung nach 10 falschen Anmeldeversuchen).
In Bezug auf Folgendes: "Die Wahrscheinlichkeit, dass die nächste Vermutung des Angreifers richtig ist, ist dieselbe ..." Angreifer können ausgefeiltere Algorithmen erstellen, um das nächste Passwort innerhalb kurzer Zeit zu erraten.Eine UNC-Studie ergab, dass ein Angreifer, der einen solchen Algorithmus zum Erlernen eines vorherigen Kennworts verwendet hat, das aktuelle Kennwort in 41% der Konten innerhalb von 3 Sekunden pro Konto erraten kann.Ich denke also, die Wahrscheinlichkeit ist dieselbe, aber eine vernünftigere Aussage wäre: "Es kommt darauf an ..." https://www.ftc.gov/news-events/blogs/techftc/2016/03/time-rethink-pflichtige-Passwort-Änderungen
@Stef Heylen Ich bin gespannt, ob das erzwungene Ändern von Passwörtern regelmäßig zur Verwendung schwächerer Passwörter führt.Dies könnte bedeuten, dass Bruteforce-Angriffe online und offline durch das Ändern von Kennwörtern einfacher sind.z.B.Wenn sich das Bruteforce-Fenster von 10 Jahren auf 30 Tage ändert (was, obwohl es unwahrscheinlich ist, dass eine geringfügige Verringerung der Komplexität zu einem parabolischen Abfall der Zeit zum Knacken führt).Dann könnte das Ändern von Passwörtern die Sicherheit verringern. Ich vermute, dass eine Reduzierung, wenn es eine gibt, nicht groß genug ist, um die Sicherheit zu verringern, aber ich wäre gespannt, ob dies untersucht wurde (schwer zu beschaffende Daten ...).
Das Ändern Ihres Passworts kann einen Brute-Force-Angriff verlangsamen.Das neue Passwort kann eine Vermutung sein, die der Hacker bereits versucht hat, oder eine Vermutung, deren Erlangung länger dauert.
#3
+152
Hendrik Brummermann
2011-06-22 20:19:27 UTC
view on stackexchange narkive permalink

Bevor Sie antworten, ob es hilft oder nicht, ist es sinnvoll, bestimmte Szenarien zu betrachten. (Dies ist häufig eine gute Idee, wenn Sicherheitsmaßnahmen durchgeführt werden.)

In welchen Situationen mindert eine erzwungene Kennwortänderung die Auswirkungen?

Der Angreifer kennt das Kennwort eines Benutzers, hat es jedoch keine Hintertür. Er möchte nicht entdeckt werden, daher ändert er das Kennwort nicht selbst.

Mal sehen, ob dieses Szenario wahrscheinlich ist:

Wie hat er das Kennwort möglicherweise gelernt?

  • Das Opfer hat es ihm möglicherweise gesagt (z. B. ein neuer Praktikant, der mit der Arbeit beginnen sollte, bevor er sein eigenes Konto eingerichtet hat, eine andere Person, die ein Konto in einem Online-Spiel einrichten sollte
  • Der Angreifer Möglicherweise haben Sie die Tastatur überwacht.
  • Der Angreifer hatte möglicherweise Zugriff auf eine andere Kennwortdatenbank, in der der Benutzer dasselbe Kennwort verwendet hat.
  • Eine einmalige Anmeldung mit einem Computer, der Eigentum von (vorbereitet) von ist ein Angreifer.

Was könnte ihn daran gehindert haben, eine Hintertür einzurichten?

  • Der betreffende Dienst bietet möglicherweise keine Möglichkeit für Hintertüren, z E-Mail-Posteingang oder gängige Webanwendungen
  • Die Berechtigungen des Benutzers verfügen möglicherweise nicht über ausreichende Berechtigungen zum Installieren einer Hintertür.
  • Der Angreifer verfügt möglicherweise nicht über die erforderlichen Kenntnisse (im Online-Spiel Stendhal die meisten "Hacks" "sind fertig b y wütende Geschwister, die nur ein Spielzeug zerstören wollen)
  • Der Angreifer ist möglicherweise noch nicht böse geworden. (zB ein Mitarbeiter, der nächsten Monat entlassen wird, aber im Moment nichts vermutet).

Warum nicht das erzwungene Ablaufen des Passworts verwenden?

Es kann sehr ärgerlich sein für Benutzer, die sie veranlassen, am Ende nur einen Zähler hinzuzufügen. Dies kann die Entropie von Passwörtern verringern. Nach meiner Erfahrung entstehen zusätzliche Supportkosten, da die Benutzer ihr neues Passwort häufiger als gewöhnlich vergessen. Ich denke, das liegt daran, dass die Eingabeaufforderung zum Ändern des Passworts sie überrascht, während sie über etwas anderes nachdenken.

Zum Abschluss

Es ist alles andere als ein Allheilmittel und wirkt sich negativ auf die Benutzerfreundlichkeit aus. Es ist jedoch sinnvoll, dies gegen die Wahrscheinlichkeit und den Einfluss von Szenarien abzuwägen, die den oben beschriebenen ähnlich sind.

Sehen Sie, jetzt haben Sie bereits andere Antworten gewählt, aber Ihre Antwort ist * mehr * richtig, daher stört es mich, dass ich Ihre nicht zweimal positiv bewerten kann :).
Übrigens ist ein weiteres mögliches Szenario zum Auffinden Ihres Passworts, wenn der Angreifer Zugriff auf die Datenbank erhalten hat. Z.B. Passwort-Hashes (z. B. / etc / passwd), die irgendwann geknackt werden können ... Oder für gängige Web-Apps werden die Passwörter möglicherweise sogar im Klartext gespeichert.
+1 für "Der Angreifer hatte möglicherweise Zugriff auf eine andere Kennwortdatenbank, in der der Benutzer dasselbe Kennwort verwendet hat". Dies ist eine sehr reale Gefahr. Wenn ich eine unsichere Site hacken und dort Ihr Passwort ermitteln kann, kann ich auf alle anderen Systeme zugreifen, auf denen Sie dasselbe Passwort verwendet haben. Jeff Atwood hat dies sogar schon einmal erlebt: http://www.codinghorror.com/blog/2009/05/i-just-logged-in-as-you-how-it-happened.html. Das Erzwingen von Kennwortänderungen kann die Wahrscheinlichkeit verringern, dass dies geschieht.
Warum nicht das Ablaufen des Passworts verwenden? Siehe [Die Sicherheit des Ablaufs moderner Kennwörter: Ein algorithmisches Framework und eine empirische Analyse] (https://www.cs.unc.edu/~reiter/papers/2010/CCS.pdf). Fazit: Es bietet fast keinen Mehrwert, ist jedoch eine Belastung für die Benutzer.
@JoshuaCarmody - "Das Erzwingen von Kennwortänderungen kann die Wahrscheinlichkeit verringern, dass dies geschieht."Wie können Sie diese Aussage machen?Welche empirischen Beweise haben Sie dafür?Die Tatsache, dass Jeff Atwood dieses Problem hatte, bedeutet lediglich, dass er überall dasselbe Passwort verwendet hat.Ich verwende alle Arten von Passwörtern online und habe Gott sei Dank keine 90-tägige Rotationsfrist.Ich stelle sicher, dass sie 1. ziemlich kompliziert und 2. von Ort zu Ort unterschiedlich sind.Durch die Durchsetzung einer 90-Tage-Richtlinie stellen Sie sicher, dass 1. einfache Kennwörter 2. dieselbe Basis mit einem kleinen drehbaren Teil gemeinsam nutzen.
** Was könnte diese bestimmte Art von Angriff sonst noch verhindern? ** Überwachung auf ungewöhnliche Anmeldeversuche (z. B. unbekanntes Gerät oder IP), Zwei-Faktor-Authentifizierung, erweiterte verhaltensbasierte Überwachung.Selbst bei diesem Angriff ist keine Kennwortrotation erforderlich.
#4
+89
Suma
2011-06-23 16:43:50 UTC
view on stackexchange narkive permalink

Eine Studie von Microsoft kam zu dem Schluss, dass die Richtlinie zum Ablaufen des Kennworts die Sicherheit in realen Szenarien nicht erhöht.

Diese Artikel wurden entfernt, sind jedoch im Internetarchiv verfügbar:

Original: So lange und nein, danke für die externen Effekte: Die rationale Ablehnung von Sicherheitsratschlägen durch Benutzer

Es ist zu beachten, dass es in dem Forschungsbericht um Website-Passwörter geht. Ich denke, dies impliziert, dass das Opfer der Benutzer selbst ist. In einer kooperativen Umgebung kann das Unternehmen unter einem Angreifer anstelle des einzelnen Benutzers leiden.
Darüber hinaus ist "Regel 6 [Kennwörter häufig ändern] nur dann hilfreich, wenn der Angreifer Wochen vor dem Ausnutzen des Kennworts wartet" falsch. Es wird die Möglichkeit ignoriert, dass ein Angriff wochenlang andauert, ohne dass dies bemerkt wird. Stellen Sie sich einen Angreifer vor, der Zugriff auf das E-Mail-Konto einer Person des oberen Managements hat. Es ist offensichtlich, dass der Nutzen für den Angreifer größer sein kann, wenn er weiterhin potenzielle vertrauliche E-Mails liest, anstatt das E-Mail-Konto für SPAM zu missbrauchen oder den Eigentümer durch Ändern des Kennworts auszusperren.
Kobi hat recht, aber ein weiterer Link ist das letzte Puzzleteil: [Die Sicherheit des Ablaufs moderner Passwörter: Ein algorithmischer Rahmen und eine empirische Analyse] (https://www.cs.unc.edu/~reiter/papers/2010 /CCS.pdf). Dies zeigt, dass ein Angreifer, sobald er ein Kennwort vom Benutzer hat, höchstwahrscheinlich ein anderes erhalten kann. Daher sind Richtlinien zum Ablauf von Kennwörtern weitaus belastender als ihr Wert.
Die britische Communications-Electronics Security Group rät auch von Richtlinien zum Ablauf von Passwörtern ab: https://www.cesg.gov.uk/articles/problems-forcing-regular-password-expiry
#5
+62
nealmcb
2011-07-11 21:14:02 UTC
view on stackexchange narkive permalink

Wir haben alle unsere Meinung, aber wir sollten auch nach aktueller Forschung zu dieser Frage suchen. Neben dem Artikel von Cormac Herley von Microsoft über Website-Passwörter, der in Sumas Antwort vermerkt ist, gibt es einen Artikel von ACM CCS 2010: "Die Sicherheit des Ablaufs moderner Passwörter: Ein algorithmischer Rahmen und eine empirische Analyse" (pdf) , geschrieben von Yinqian Zhang, Fabian Monrose und Michael Reiter. Sie haben einen großartigen Datensatz analysiert und eine gute Analyse durchgeführt, wie effektiv die Richtlinien zum Ablauf von Kennwörtern wirklich sind. Ihre Schlussfolgerung? Es ist nicht sehr nützlich, Benutzer zu zwingen, ihr Kennwort alle sechs Monate zu ändern:

Mindestens 41% der Kennwörter können innerhalb von Sekunden und fünf Sekunden von früheren Kennwörtern für dieselben Konten offline getrennt werden Erwartungsgemäß reichen Online-Kennwortschätzungen aus, um 17% der Konten zu beschädigen.

.... Unsere Erkenntnisse legen nahe, dass es möglicherweise angebracht ist, den Ablauf des Kennworts vollständig zu beseitigen, möglicherweise als Zugeständnis, während Benutzer dies verlangen Investieren Sie die Mühe, ein wesentlich stärkeres Passwort auszuwählen, als dies sonst der Fall wäre (z. B. eine viel längere Passphrase). ....

Langfristig glauben wir, dass unsere Studie die Schlussfolgerung stützt, dass die einfache passwortbasierte Authentifizierung sofort aufgegeben werden sollte.

Für Untersuchungen, wie man helfen kann Benutzer wählen stärkere Kennwörter, siehe Empfohlene Richtlinie zur Kennwortkomplexität - IT-Sicherheit

Das ist das gleiche Ergebnis, das ich erhalten habe, nachdem ich mit einigen Sicherheitsprüfern über den Sinn von ISO 270001 gesprochen habe - insbesondere über die Richtlinien zur Kennwortänderung. Sie waren der Meinung, dass häufige Passwortänderungen falsche Passwörter erzwingen. Während ein gutes Passwort nicht so häufig geändert werden muss.
#6
+47
Rakkhi
2011-06-22 20:31:59 UTC
view on stackexchange narkive permalink

Die einzigen zwei guten Gründe, die ich gehört habe:

  1. Zeitfenster - In einem Online-Angriffsszenario sagen Sie, dass Sie das Konto für 30 sperren Minuten nach 10 falschen Versuchen (die von Microsoft empfohlene Einstellung für Hochsicherheitsumgebungen). Ohne Ablauf des Kennworts gibt es möglicherweise ein unbegrenztes Zeitfenster, um Wörterbuch-, Brute-Force- und gängige Kennwortangriffsmethoden zu versuchen. Der Ablauf des Passworts begrenzt dies. In einem Offline-Szenario, in dem Sie nicht feststellen, dass Ihre Passwörter gestohlen wurden, bietet das erneute Ablaufen von Passwörtern dem Angreifer ein begrenztes Zeitfenster, um die Passwörter zu knacken, bevor sie unbrauchbar werden. Natürlich, wie @ graham-lee feststellt, benötigen Sie andere Kontrollen, um Dinge wie eine Hintertür zu erkennen.

  2. Compliance - praktisch jede Aufsichtsbehörde und jeder Prüfer sucht nach Ablauf des Passworts. Einschließlich PCI-DSS, HIPAA, SOX, Basel II usw. Richtig oder falsch ist dies die Welt, in der wir leben. Außerdem wurde "niemand wegen des Kaufs der IBM-Theorie gefeuert". Wenn Sie keinen Kennwortablauf haben und andere in Ihrer Branche dies tun, wenn Sie gehackt werden, haben Sie nicht die "branchenüblichen Praktiken" befolgt. Noch wichtiger ist, dass die Geschäftsleitung dies nicht der Presse, einer Aufsichtsbehörde oder einem Gericht sagen kann. Der gleiche Grund für die vollständige Inspektion von Firewalls, Antivirenprogrammen und IDS, obwohl diese heute weniger effektiv sind als vor 10 Jahren.

  3. ol>

    Das heißt, wie jeder gesagt hat, ist eine Kennwortänderung für die Benutzererfahrung schrecklich, insbesondere wenn es keine oder nur eine begrenzte einmalige Anmeldung gibt, kann dies zu einem "Tag der Kennwortänderung" führen, an dem ein Benutzer das Kennwort für seine 30 Systeme durchläuft und ändert zum gleichen normalerweise durch Inkrementieren einer Ziffer. Dies ist eindeutig kein gewünschtes Verhalten. Meine Empfehlung für die Änderung dieser Kultur, wenn dies in Ihrer Regulierungs- / Prüfungsumgebung möglich ist, besteht darin, Ihre Richtlinie zu ändern, um das Ablaufen des Kennworts mit einer klaren Begründung zu entfernen (hier reichlich vorhanden). Lassen Sie dies von der zuständigen Sicherheitsbehörde genehmigen und von der Prüfung / Aufsichtsbehörde überprüfen. Dann wechseln Sie die Systeme. Verwenden Sie alternativ mehrere Single Sign-On- und Verbund-IDs, idealerweise mit zwei Faktoren, sodass mindestens Benutzer nur ein oder mehrere Kennwörter ändern müssen.

"Konformität" umfasst "Konformität mit Vorschriften, die dazu führen, dass die Aufsichtsbehörden der Branche Ihrem Unternehmen ein erhebliches Geld für Unzulänglichkeiten auferlegen". IIRC, Kennwortrotation ist unter anderem ein obligatorischer Bestandteil der PCI-Konformität.
@dannysauer danke wollte das hinzufügen, wurde aber faul zu suchen :)
Leider bedeutet "Compliance" heutzutage im Wesentlichen "ahnungslose Frachtkultaffen, die mit Checklisten bewaffnet sind". Es ist bedauerlich, dass die Nichteinhaltung andere Auswirkungen hat, aber das ist für die Sicherheit irrelevant.
@piskvor sehr relevant für die Leute, die für Sicherheit bezahlen :)
@Rakkhi: Ja, ja, ich sage nicht, dass es für alles irrelevant ist, es ist definitiv relevant für das Endergebnis - aber auch für alles andere, was ein Unternehmen tut. Es ist Sicherheitstheater, keine tatsächliche Sicherheit (nicht sicher, ob dies im Rahmen dieser Frage liegt).
@piskvor nur im Umfang, soweit es Dinge gibt, die Sie für das Endergebnis tun müssen, und um Vorschriften einzuhalten, von denen Sie vielleicht nicht wirklich glauben, dass sie die Sicherheit erhöhen (oder schlimmer noch verringern). Ändert nichts an der Tatsache, dass Sie es noch tun müssen. Was Sie als Sicherheitstheater betrachten, hat ein Milliardengeschäft aufgebaut.
@Rakkhi: Natürlich handelt es sich um ein Milliardengeschäft; Der Verkauf von Schlangenöl und Wundermitteln war in der gesamten Menschheitsgeschichte profitabel. Rentabilität! = Nutzen.
HIPAA erfordert zumindest keinen Kennwortablauf.Es erfordert "Passwortverwaltung (adressierbar). Verfahren zum Erstellen, Ändern und Sichern von Passwörtern".https://www.law.cornell.edu/cfr/text/45/164.308 (a.5.ii.D)
Ihr Absatz über Compliance ist sehr, sehr nützlich.Ich stimme Ihnen und @Piskvor auch zu, dass es sich im Grunde genommen um ein Sicherheitstheater handelt, das viel Geld für das einfache Überprüfen einiger Kästchen verlangt.Es ist jedoch ein äußerst relevanter Faktor, ohne den Sie das Problem selbst nicht diskutieren können.Danke fürs Hinzufügen;)
#7
+32
Alain
2011-06-22 21:47:26 UTC
view on stackexchange narkive permalink

Ein hier nicht genannter Grund ist, dass dadurch verhindert wird, dass Personen, die für alles dasselbe Kennwort verwenden , Ihr System kompromittiert werden, wenn ihr Kennwort an einer anderen Stelle ermittelt wird. Nach Ablauf einiger Kennwörter müssen Benutzer zunächst Originalkennwörter erstellen. Wenn also ihr Lieblingskennwort gestohlen wird und alle E-Mails, Websites sozialer Netzwerke und persönlichen Konten gehackt werden, ist Ihr System weiterhin sicher.

"Benutzer müssen sich zunächst originale Passwörter einfallen lassen". Das klingt für mich nach Wunschdenken. Die meisten Benutzer "spielen" das System wahrscheinlich mit nacheinander ansteigenden Suffixen oder ähnlichem oder Pingponging zwischen zwei Passwörtern. (Bitte schlagen Sie nicht vor, dass Sie jedes Passwort speichern, das der Benutzer jemals verwendet hat ...)
@Roddy: Ich habe ein System verwendet, in dem meine letzten zehn Passwörter gespeichert waren, aber leider war es * möglich *, sequentielle Suffixe zu verwenden.
Wie verhindert das Erzwingen einer Kennwortänderung auf System A, dass Sie das Kennwort auf System B so ändern, dass es mit dem neuen Kennwort auf System A übereinstimmt? Jetzt ändert der Benutzer sein Passwort auf beiden Systemen alle 90 Tage, aber die Passwörter bleiben synchron.
@alain Dies ignoriert den Tag der Kennwortänderung, an dem Benutzer alle ihre Kennwörter in dasselbe neue ändern.
Bei den meisten Websites müssen Sie Ihr Passwort nicht ändern. Niemand wird seine Hotmail-, Google Mail-, Facebook-, MySpace- usw. Passwörter ändern, um sie an das Passwort seines Arbeitscomputers anzupassen. Die Wiederverwendung von Passwörtern ist das Ergebnis von Faulheit, und aus dieser Faulheit besteht nach den ersten Änderungen eine hohe Wahrscheinlichkeit, dass das Passwort für dieses System eindeutig verwendet wird.
Was die Wiederverwendung früherer Passwörter betrifft - die meisten Systeme erlauben geringfügige Abweichungen (Änderungssuffixe oder Präfixe), aber nur wenige Systeme, die eine Passwortänderung erzwingen, erlauben die Wiederverwendung der letzten 10 oder so Passwörter. (Wie Bill erwähnte). Selbst dann verfügen dieselben Systeme häufig über andere Sicherheitsmaßnahmen, z. B. eine Sperrung, wenn mehr als 10 erfolglose Versuche unternommen werden. Mit der Anzahl möglicher Permutationen, die an einem bekannten Passwort vorgenommen werden können, um es nur geringfügig zu unterscheiden, besteht immer noch eine gute Chance, einen Brute-Forcer mit dem gemeinsamen Passwort des Benutzers zu stoppen.
Ich habe an einem Ort gearbeitet, an dem es tatsächlich einen guten Calgarythim gab, der kein Passwort zuließ, das mehr als 50% oder mehr der gleichen Zeichen aus meinem vorherigen Passwort enthielt oder das mehr als 33% der gleichen aufeinander folgenden Zeichen wie eines der letzten 12 Zeichen gemeinsam hatte Passwörter. Wenn Sie also ein 9-stelliges Passwort haben, können Sie nur 3 Zeichen zusammen als Teil Ihres Passworts wiederverwenden. Wenn es 8 ist, dann nur 2. Es erforderte auch ein Sonderzeichen, eine Zahl und einen Groß- und Kleinbuchstaben mit einer Mindestlänge von 8. Ich denke, es gab vielleicht auch ein paar andere Regeln, aber es war einfach einfacher, eine zufällige als die Wiederverwendung zu verwenden .
Haha, ich denke, wenn meine Firma so streng wäre, wäre es eine Formel für 1: Niemals abmelden, 2: Jeder, der ein bequemes Sticky mit seinem aktuellen Passwort hat, klebt an seinem Monitor. Super sicher!
@Chad: Das ist kein "guter Algorithmus", das ist eine Sicherheitslücke. Um diese Überprüfungen durchzusetzen, müssen die Kennwörter mit reversibler Verschlüsselung gespeichert werden (sofern sie überhaupt verschlüsselt sind). Niemand, der Sicherheit versteht, speichert Kennwörter so, dass der Klartext oder sogar eine Liste von Zeichen im Kennwort wiederhergestellt werden kann.
@Ben Voigt: Sie müssen keine Verschlüsselung verwenden, ein Einweg-Hashing alter Passwörter und dann das neue Passwort über einige einfache Algorithmen iterieren (eine Zahl finden - erhöhen, ein Wort finden - umkehren), indem Sie einige hundert solcher Kombinationen berechnen Ein Vergleich mit verwendeten Hashes macht es unmöglich, Kennwörter wiederzuverwenden, ohne die Kennwörter in klarer oder reversibler Verschlüsselung zu speichern.
@Hubert: Indem Sie Abweichungen vom neuen vorgeschlagenen Kennwort generieren, entfernen Sie tatsächlich die Anforderung, das alte Kennwort wieder im Klartext zu erhalten. Gleichzeitig ist das Generieren und Hashing von Variationen sehr verschwenderisch, es ist fast so schwer wie ein Brute-Force-Angriff auf das Passwort. Das Leitprinzip der Sicherheit besteht darin, den Bösen dazu zu bringen, ein Problem viel schwerer zu lösen als den Guten. Wenn du dem Guten das gleiche Problem gibst ...
@Ben Voigt: Es ist nur zu überprüfen, ob das Passwort keine geringfügige Abweichung von dem bereits verwendeten ist. Ja, das Ändern von Kennwörtern wird dadurch arbeitsintensiver, aber das Generieren von sogar 1000 Kennwortvariationen mit 10000 Round PBKDF2 dauert auf jedem Desktop-Computer weniger als eine Sekunde. Mit NTLMv2-Hashes können Sie 1000000-Variationen ohne sichtbaren Leistungsabfall ausprobieren.
@Hubert: Wenn Sie so wenige Variationen ausprobieren, dass sie in weniger als einer Sekunde getestet werden können, legen Sie die Messlatte für einen Angreifer nicht so hoch, dass sie sich lohnt. Würden Sie nicht auch zustimmen, dass der Grad der Wiederverwendung, den Chad als verboten bezeichnete, einen Klartext von Neuem und Altem erfordern würde? Um festzustellen, ob drei von neun Zeichen wiederverwendet werden, müssen Sie diese drei an allen möglichen Positionen und jedes mögliche Zeichen an jeder anderen Position ausprobieren! Das Verfahren zum Erzeugen von Variationen und zum Berechnen und Vergleichen von Hashes ist unerschwinglich teuer und fast so schwer wie das Bruteforcing von Grund auf.
@Ben Voigt: Ich lege die Messlatte für den Benutzer höher, um ein ausreichend anderes Passwort als das bereits verwendete zu denken. Wenn überhaupt, erhöhe ich die Messlatte für Angreifer, die mindestens ein vorheriges Passwort kennen (von der WLAN-Konfiguration eines gestohlenen Smartphones oder Laptops) und Lass es für andere Angriffe auf dem gleichen Level. Es hindert Benutzer daran, "pa55w0rd022011", "pa55w0rd032011" usw. zu verwenden. Es hindert sie nicht daran, "abba73alpha", "abba73beta" usw. zu verwenden. Ich sage, es ist ein Gewinn
@Hubert: Nun, Tschads Kommentar, auf den ich geantwortet habe, behauptete, er würde verhindern, dass "abba73alpha" von "zyxw14alpha" gefolgt wird. Wenn Sie jedoch die Messlatte für einen Angreifer auf "mehr als T-Zeit" erhöhen, müssen Sie nur "T-Zeit" für jeden Kennwortänderungsversuch aufwenden. Jedes Mal, wenn Ihre Arbeit mit der Aufgabe des Angreifers vergleichbar ist, ist es ein schlechtes Design.
@Ben Voigt: Es erhöht immer noch den Arbeitsaufwand wie O (log (n)), wobei n die Anzahl der vergangenen Passwörter ist. Ich sehe nur nicht, wo es mit der Aufgabe eines Angreifers vergleichbar ist. Ich führe nur diese ungefähr 1000 Passwort-Hash-Berechnungen durch. Es ähnelt eher der Verwendung einer langsameren CPU und ist nicht einfacher, Algorithmen zu knacken. Es ist ein Schutz vor durchgesickerten Nur-Text-Passwörtern. Indem wir eine einfache Änderung von Passwörtern verhindern, sichern wir unser Netzwerk gegen Online-Brute-Force (dessen Geschwindigkeit leicht gedrosselt werden kann).
Sogar wir Sicherheitsleute spielen das System und verwenden iterativ ansteigende Ziffern, die am Ende angeheftet werden.
Ich gebe diesem eine +1, weil es so weit von der Box entfernt ist (sogar umstritten?), Dass ich an ein anderes Szenario / einen anderen Grund für regelmäßige Kennwortänderungen dachte - die Weiterentwicklung der Anmeldesicherheit selbst. Wenn Sie neue Validierungsmethoden entwerfen, möchten Sie wahrscheinlich trotzdem alle vorherigen Benutzerkennwörter ungültig machen. Wenn Benutzer ihre Kennwörter in regelmäßigen Abständen ändern, besteht die Möglichkeit, diese Änderungen ohne zusätzliche Kopfschmerzen zu implementieren, wobei nur zwei aktuelle Validierungsmethoden aktiv bleiben und selbst dann nur bis zu einem voreingestellten Zeitraum.
@BenVoigt Mir ist klar, dass dies ein wirklich alter Thread ist, aber da es anscheinend niemand anderes erwähnt hat und jemand anderes diesen Thread möglicherweise auch mit Interesse liest: Für Bildschirm zum Ändern von Passwörtern muss häufig Ihr altes Passwort eingegeben werden.Sie müssen es also zum Zeitpunkt der Einreichung mit dem neuen vergleichen.Sie müssen es nicht beibehalten, sondern nur überprüfen, ob es korrekt ist, und es dann lange genug im Speicher halten, um das neue Kennwort damit zu vergleichen.(Das heißt nicht, dass mir dieser Ansatz gefällt - nur dass er nicht unbedingt bedeutet, dass Sie das Passwort mit reversibler Verschlüsselung oder als Klartext beibehalten müssen.)
@pinkgothic: Das hilft Ihnen beim gültigen, aber ablaufenden Passwort, aber bei dem Kommentar, auf den ich geantwortet habe [über Variationen der letzten 12 Passwörter gesprochen] (http://security.stackexchange.com/questions/4704/how-does-changing)-Ihr-Passwort-alle-90-Tage-Sicherheit erhöhen / 4709? noredirect = 1 # comment7431_4709) Wie bekommst du die anderen 11?Fordern Sie den Benutzer auf, alle einzugeben, wenn Sie sein Passwort ändern?
@BenVoigt: Ich muss zugeben, dass ich dachte, dass das nicht wahr ist, aber das ist natürlich keine Entschuldigung für mich, es in meinem Kommentar nicht zu berücksichtigen.Das tut mir leid.:) :)
#8
+28
user unknown
2011-08-13 08:48:53 UTC
view on stackexchange narkive permalink

Inwieweit verbessert ein Ablauf von Kennwörtern die Sicherheit?

diagram of relation time:vulnerability, depending on passwort change or not Dieses Bild zeigt für einige Szenarien die Beziehung zwischen Zeit und Wahrscheinlichkeit, dass ein Brute-Force-Angriff auf einen Kennworttyp erfolgreich war , abhängig von der regelmäßigen Änderung des Passworts. Die absolute Zeitspanne ist von geringem Interesse. Wie lange es dauert - entweder gibt es keinen großen Unterschied oder die Sicherheitsanfälligkeit ist bereits ziemlich hoch.

Wie bereits von anderen erwähnt, gibt es verschiedene Szenarien, in denen das Ändern des Kennworts hilfreich sein kann:

  • a) Benutzer A teilt einem Mitarbeiter B in einer besonderen Situation sein Passwort mit. Später wird B gefeuert. Er könnte jetzt darüber nachdenken, das Passwort von A zu missbrauchen (sein eigenes Konto wird gelöscht, nehmen wir an), aber es könnte einige Zeit dauern (z. B. einen Streit gegen das Unternehmen vor Gericht zu verlieren), bevor er seinen Angriff startet. Hier ist es sehr nützlich, das Passwort zu ändern - aber natürlich nicht von secret2010 zu secret2011.
  • b) Der Angreifer hat Zugriff auf die Schattendatei und erzwingt mit einer gewissen Menge an CPU-Leistung ( oder GPU).

Im Fall b) sieht die Richtlinie zum Ändern des Kennworts vernünftig aus, aber Sie profitieren nur, wenn das Risiko, anfällig zu sein, bereits sehr hoch ist. Lassen Sie es mich mit Zahlen erklären:

Angenommen, ein Angreifer versucht 250 000 Kennwörter pro Sekunde. Angenommen, das Kennwort läuft nach 183 Tagen (ca. 6 Monaten) ab. Das Kennwort wird aus a-zA- generiert. Z0-9 mit 62 Zeichen. Angenommen, das Kennwort ist 8 Zeichen lang. Überprüfen Sie, wie wahrscheinlich ein Einbruch nach 10 Jahren ist, was 20 Änderungsintervallen entspricht.

Ich habe ein Programm geschrieben a>, um verschiedene Parameter zu testen; Rufen Sie das Programm mit

  java PasswordCrackProb 8 62 250000 s auf. 183 20len = 8signs = 62 Angriffe pro Tag = 21 600 000 000 Austausch nach Tagen = 183 Intervalle = 20 Tage = 3660 Jahre = 10M = 218 340 105 584 896attacks = 79 056 000 000 000p (geknackt) = 0,3620773 ohne changep (geknackt) = 0,3060774 mit change  

Das Ergebnis bedeutet, dass es mit einer Wahrscheinlichkeit von 36% geknackt wird, wenn das Kennwort nicht geändert wurde, und mit einer Wahrscheinlichkeit von 31%, wenn es geändert wurde (der Angreifer verfügt jedoch über eine neue Schattendatei). Der Unterschied ist signifikant, und noch mehr, wenn wir 40 Intervalle wie 20 Jahre länger dauern:

  p (geknackt) = 0,7241546 ohne changep (geknackt) = 0,5184715 mit Änderung  

, aber während 52% viel niedriger als 72% sind, sind 52% möglicherweise nicht akzeptabel.
Wenn wir jedoch kleinere Intervalle betrachten, ist der relative Unterschied zwischen geändert und unverändert Passwörter werden immer kleiner.

  p (geknackt) = 0,0905193 ohne Änderungp (geknackt) = 0,0873006 mit Änderung  

Wenn Sie mehr annehmen CPU-Leistung oder schwächere Passwörter, die Crack-Zeit wird natürlich kürzer, aber die Anzahl der Angriffe pro Tag ist nicht sehr interessant. Wir müssen davon ausgehen: Wir können den Benutzer nicht zwingen, das Passwort täglich zu ändern. Einige Tage - vielleicht eine Woche - sind also das Minimum. Und wir brauchen kein Maximum länger als 20 Jahre. Systeme ändern sich, Menschen wechseln den Arbeitsplatz. Sie können es nicht vermeiden, das Kennwort nach 20 Jahren zu ändern.

Wenn der Angreifer zu viel Macht hat und den gesamten Namespace an einem einzigen Tag brutal erzwingt, hilft Ihnen eine wöchentliche Änderung nicht viel - er gewinnt immer . Und wenn der Angreifer in 50 Jahren nur 1% des Namespace (für eine bestimmte Kennwortlänge) brutal erzwingen kann, hilft es auch nicht, das Kennwort zu ändern - Sie werden (fast) immer gewinnen.

Nur in einem mittelschweren, ausgewogenen Szenario kann die Kennwortänderung einen Unterschied bewirken. Wissen Sie jedoch wirklich, ob der Bösewicht 1, 10 oder 100 Jahre benötigt, um Ihr Kennwort brutal zu erzwingen?

Aber behalten Sie es Denken Sie daran: Wenn der Angreifer nur einmal Zugriff auf Ihre jetzt abgelaufene Schattendatei hatte, passt der Vergleich aus meinem Programm nicht.

Ich mag diese Antwort, aber ich bin amüsiert, dass Ihre Grafik bis zu 120% wahrscheinlich ist :-)
Ein Punkt auf dem Rahmen kann leicht übersehen werden. Da auf der 120% -Ebene kein Punkt vorhanden ist, ist nichts direkt daran falsch, und OpenOffice zeigt standardmäßig die 120% an. Die Verwendung des Diagramms ohne weitere grafische Manipulation war nur eine schnelle Lösung.
LOL - es war nur die Kennzeichnung, die mich amüsierte. Ich denke, die Grafik liefert gute visuelle Hinweise auf diese zunehmende Lücke im Laufe der Zeit.
Ja, aber nur erwähnenswert, wenn die "Unsicherheit" bereits bei etwa 40% oder höher liegt.
Sehr interessant. Beachten Sie, dass die Kurven im unteren Teil des Diagramms fast gleich sind - wo Sie hoffen sollten.
http://calc.opensecurityresearch.com
#9
+23
Rory Alsop
2011-06-23 01:13:59 UTC
view on stackexchange narkive permalink

Einfache Antwort - heutzutage hilft es fast nie mehr. Frühere Antworten geben die beiden wichtigsten Szenarien an, in denen dies der Fall sein wird, aber selbst dann sind 90 Tage immer noch nicht so nützlich.

Es könnte schlimmer sein - wir haben lange Zeit damit verbracht, die Leute davon zu überzeugen, dass 30 Tage zu kurz waren, aber zurück in der Zeit Tag, an dem der Diebstahl des SAM relativ einfach war, waren die Leute sehr besorgt über einen Brute-Force-Angriff auf den SAM. Wir haben viele Unternehmen dazu gebracht, sich auf einen Kompromiss von 90 Tagen zu einigen, aber obwohl die Cracking-Leistung definitiv gestiegen ist, sind Hashes besser geschützt und im Allgemeinen haben die meisten Orte jetzt mindestens einige Regeln für die Komplexität von Passwörtern, so dass dies weitaus weniger wichtig geworden ist. P. >

Alsop wurde Ihr Denken darüber von der großen Anzahl der jüngsten Reithosen beeinflusst? B. die gesamte MTGOX-Datenbank wird entleert. Ich habe meine Wahrscheinlichkeitsbewertung für das Offline-Knacken von Passwörtern in meinen Angriffsbäumen definitiv erhöht. Selbst bei grundlegender Komplexität ist es erstaunlich, wie viele Password1 usw.
@Rakkhi - Ich verlasse mich eher auf die wundersamen Kräfte längerer Passphrasen :-) Ich stimme jedoch zu, dass die Datenbank-Dumps ein Problem für diejenigen sind, die einfache / kurze Passwörter verwenden.
Alsop kennt keine Organisation, die eine Passwortlänge von 12 Zeichen oder 14 Zeichen festgelegt hat
@Rakkhi - Ich weiß. Wir müssen einfach weiter auf sie einhämmern.
#10
+15
StupidOne
2011-07-04 13:42:10 UTC
view on stackexchange narkive permalink

Ich möchte nur eines hinzufügen. Wir können dieses Problem aus sozialer Sicht angehen. Indem wir das Passwort alle X Tage zurücksetzen, teilen wir dies dem Benutzer mit - Hey, das ist wichtig und sollte nicht leicht genommen werden!

Dies ist eigentlich ein sehr wichtiger Punkt, der oft übersehen wird. Das Problem besteht darin, das Gleichgewicht zwischen "Ändern von Passwörtern innerhalb von 30 Tagen ist einfach STOOPID, lassen Sie uns einfach unsere Passwörter überall posten" und "hrmm, Passwort? Ja, ich glaube, ich habe eines dieser Dinge vor ein paar Jahren bekommen, als ich dem beigetreten bin Firma ... es steht wahrscheinlich auf meinem Arbeitsformular ... ". Intuitiv würde ich vermuten, dass zwischen 6 Monaten und einem Jahr oft genug ist, um den Benutzer an die Passwortempfindlichkeit zu erinnern, aber nicht zu oft, um Benutzer wirklich zu nerven. Aber ja - soziale Aspekte haben einen größeren Einfluss auf die Sicherheit als oft angenommen
Es sagt mir als Benutzer, dass es nicht wichtig ist, z. Die IT-Abteilung hat die Forschungsarbeiten nicht gelesen.
#11
+12
Luc
2016-08-21 06:14:29 UTC
view on stackexchange narkive permalink

Als eines der neuen Dinge in der neuen NIST-Veröffentlichung mit dem Namen Special Publication 800-63-3:

Kein Ablauf mehr ohne Grund. [.. .] Wenn Benutzer die Anforderungen erfüllen und lange, schwer zu erratende Kennwörter auswählen sollen, sollten sie diese Kennwörter nicht unnötig ändern.

Von: https: // nackte Sicherheit.sophos.com/2016/08/18/nists-new-password-rules-what-you-need-to-know/

Die Veröffentlichung von NIST selbst finden Sie hier : https://github.com/usnistgov/800-63-3

Es gibt einige andere Empfehlungen, die die Infosec-Welt seit langem akzeptiert: mindestens 8 Zeichen, maximale Länge 64 Zeichen oder länger, keine Kennworthinweise oder geheimen Fragen, alle Zeichen (einschließlich Emoji) zulassen und keine nervigen Regeln wie "muss ein Sonderzeichen, aber kein Dollar- oder Prozentzeichen enthalten".

Es ist immer noch ein Entwurf, aber er beantwortet so ziemlich die Frage.

Ähnliche Empfehlung der NCSC: https://www.ncsc.gov.uk/articles/problems-forcing-regular-password-expiry
#12
+8
Dhruba Adhikari
2011-06-23 11:16:11 UTC
view on stackexchange narkive permalink

In dem Sinne scheint es irgendwie besser zu sein, dass die Institution erzwingt, Kennwörter in regelmäßigen Abständen zu ändern. Wenn der Benutzer jedoch die Kennwörter in dem Intervall ändert, aber immer ein Muster hinter seinen Änderungen zurücklässt, ist es nicht sinnvoll, die Kennwörter zu ändern. Es ist stattdessen eine ernstere Bedrohung. Der Benutzer hat das Gefühl, seine letzten Passwörter geändert zu haben, und fühlt sich sicher. und der Angreifer erhält immer einen Hinweis auf das Kennwort.

-

Der beste Weg ist immer, dem Dienstanbieter vorzuschlagen, einen besseren und sichereren Algorithmus zu implementieren, als nach seinen Endbenutzern zu fragen um das verdammte Passwort jedes Mal zurückzusetzen. Wenn jemand gleich genug ist, wird er / sie bedenken, dass wir heutzutage Single Sign On und OpenID haben, bei denen sich die Leute lieber mit einem Konto anmelden, als sich unterschiedliche Passwörter für verschiedene Websites zu merken.

- Trotzdem Von allen Diskussionen wird empfohlen, Ihr Passwort häufig zu ändern.

  Auf IHREM FREIEN WILLEN  

Ein kurzer Tipp: Verwenden Sie mehrere Wörter in Ihrem Passwort (Das sicherste bis dato gekennzeichnete).

#13
+8
DKGasser
2011-06-22 23:18:53 UTC
view on stackexchange narkive permalink

Eine wichtige Überlegung, die Sie bei der Befragung berücksichtigen sollten, ist, dass Sie möglicherweise nicht wissen, dass Ihr Konto bereits verletzt wurde.

Wenn Ihr Passwort kompromittiert worden wäre und Sie sich dessen bewusst wären, würden Sie dies offensichtlich tun Bewegen Sie sich auf jeden Fall sofort, um es zu ändern.

Indem Sie gezwungen werden, Ihr Passwort alle 90 Tage zu ändern (oder das Konto zu sperren), verringern Administratoren zwei Risiken.1. Diese inaktiven Benutzer / Konten stehen einem Angreifer für unbegrenzte Zeit zur Verfügung, um zu versuchen, ihren Weg in Brute-Force zu erzwingen.2. Falls Sie nicht verletzt wurden, müssen Sie Ihr Passwort unabhängig davon ändern (wodurch der Angreifer erneut aus Ihrem Konto gesperrt wird)

1) Deaktivieren Sie bei inaktiven Konten das Konto nach 90 Tagen Inaktivität. Es sollte leicht zu erkennen sein, ob das Konto nicht verwendet wird. 2) Was ist der beste Fall, um einen Angreifer auszusperren? Reduzierung des Zugangs zu Stunden, Minuten? Wie lange braucht ein Angreifer, um Wert von dem gefährdeten Konto zu erhalten?
Es gibt viel zu viele Szenarien, um darauf einzugehen, und es ist unmöglich, von allen zu sprechen, aber es ist unnötig zu erwähnen, dass es in ALLEN Fällen nicht nützlich / notwendig ist, Kennwortänderungen vorzunehmen. Allerdings hat es in einigen Fällen Verwendung .
#14
+8
Adam Matan
2012-02-23 15:53:43 UTC
view on stackexchange narkive permalink

Die meisten Online-Dienste (z. B. Banken) begrenzen die Anzahl der Online-Versuche pro Zeiteinheit, wodurch ein Brute-Force-Angriff nutzlos wird.

Das Ergebnis einer Kennwortänderungsrichtlinie ist fast immer ein Sicherheitsrisiko. Es kann die Form eines PostIt-Passworts oder von Passwörtern in der Form pass! 1000 annehmen, die in pass! 1001 und dann in pass! 1002 und so weiter.

#15
+7
user18099
2013-12-16 20:48:09 UTC
view on stackexchange narkive permalink

Wir drehen 'öffentliche Passwörter' (Gast-WLAN), um den Zugriff von Mitarbeitern zu spülen, die das Unternehmen inzwischen verlassen haben .

Wir akzeptieren die Lasten des Rotierens von 'individuellen Passwörtern'. , weil a) wir immer mit der Annahme beginnen, dass die Konten aller Nicht-Technikfreaks bereits gehackt wurden. Und b) , um alle Konten, die vergessen . Da der Zugriff ' zentralisiert neues Passwort festlegen' der einzige ist, den wir nie vergessen zu schließen. ( Ausfallsicherer Ablauf aller Single Sign-On-Abhängigkeiten ) Dies schließt auch Hardware (Notebooks) ein, die an einen neuen Eigentümer übergeben werden und möglicherweise über gespeicherte Kennwörter verfügen.

( c) Außerdem werden die Benutzer darüber informiert, wo ihre Kennwörter automatisch gespeichert werden .)

( d) Außerdem können wir den Leuten sagen, dass sie nach einem fragwürdigen Datenverlust alle Ihre Passwörter ändern sollen. Dies funktioniert nur zuverlässig bei Mitarbeitern, die in der Kennwortänderung geschult wurden.

Kurz gesagt, der automatische Ablauf ist ein Schutz vor Personen, die sich nicht so verhalten, wie Sie es von ihnen verlangt haben .

#16
+7
Babken Vardanyan
2014-06-26 00:29:54 UTC
view on stackexchange narkive permalink

Um das bereits Gesagte zu ergänzen, kann ich mir zwei weitere Gründe vorstellen, warum das regelmäßige Ändern von Passwörtern hilfreich ist:

1) Wenn die Rechenleistung erheblich ansteigt

Sagen Sie, in Anfang der 90er Jahre wurden 7-Zeichen-Passwörter als sicher angesehen, da Computer bei weitem nicht leistungsfähig genug waren, um sie zu erzwingen.

24 Jahre später können Systeme, die immer noch dasselbe Passwort haben, erfolgreich brutal erzwungen werden.

Einige Berechnungen bestehen unter Berücksichtigung des Passworts aus 24 Buchstaben (Groß- und Kleinbuchstaben), 10 Zahlen und 10 Symbolen sowie dem Moore'schen Gesetz (x2 mehr Potenz alle 2 Jahre):

  mögliche Kombinationen = (24 +) 24 + 10 + 10) ^ 7 = 6.722.988.818.432 Versuche pro Sekunde im Jahr 1990 = 100.000 (zum Beispiel) benötigte Zeit im Jahr 1990 = mögliche Kombinationen / Versuche pro Sekunde = 2 Jahre pro Sekunde im Jahr 2014 = Versuche pro Sekunde im Jahr 1990 * (2 ^ 12 ) = 409.600.000 Zeit im Jahr 2014 erforderlich = mögliche Kombinationen / Versuche pro Sekunde = 4 Stunden  

Hier geht es mehr darum, das erforderliche Mindestpasswort zu erhöhen d Länge, aber es sollte regelmäßig durchgeführt werden und kurze Passwörter sollten geändert werden.

2) Einhaltung der ISO / IEC 27001/27002-Standards

Von ISO / IEC 27002: 2013, Abschnitt 9.4.3:

Ein Kennwortverwaltungssystem sollte:

...

e) regelmäßige Kennwortänderungen erzwingen und nach Bedarf;

3) Einhaltung des PCI DSS-Standards

Ab PCI DSS v3, Abschnitt 8.2.4:

8.2.4 Ändern Sie Benutzerkennwörter / Passphrasen mindestens alle 90 Tage.

8.2.4.a Überprüfen Sie anhand eines Beispiels für Systemkomponenten die Systemkonfigurationseinstellungen, um sicherzustellen, dass die Benutzerkennwortparameter so eingestellt sind, dass Benutzer die Kennwörter mindestens alle 90 Tage ändern müssen.

8.2.4.b Zusätzliches Testverfahren für Dienstanbieter: Überprüfen Sie die internen Prozesse und die Kunden- / Benutzerdokumentation, um Folgendes zu überprüfen:

  • Nicht-Consumer-Benutzerkennwörter muss sich regelmäßig ändern; und

  • Benutzer, die keine Verbraucher sind, erhalten eine Anleitung, wann und unter welchen Umständen sich Kennwörter ändern müssen.

Kennwörter / Phrasen, die lange gültig sind Zeit ohne Änderung geben böswilligen Personen mehr Zeit, um daran zu arbeiten, das Passwort / die Phrase zu brechen.

@PhilippeCarriere Es gibt mehrere Versionen von ISO / IEC 27001. Ich habe auf den neuesten Standard von 2013 verwiesen. Es gibt auch einen älteren Standard von 2005, den Sie wahrscheinlich suchen.
@PhilippeCarriere Ah ja, sorry, ich meinte ISO / IEC 2700 ** 2 **: 2013. Es enthält detailliertere Anweisungen als 27001, was eher eine abstrakte Übersicht ist.
+1 für die Einhaltung der Norm ISO / IEC 27002: 2013.
Untersuchungen haben ergeben, dass das Ändern von Passwörtern nicht allzu hilfreich ist.Der einzige Grund für einige Unternehmen ist jedoch, einen bestimmten Standard einzuhalten.PCI DSS-Standards, ISO und sogar FDA ...
#17
+5
Bradley Kreider
2012-01-05 03:34:13 UTC
view on stackexchange narkive permalink

Eine strikte wörtliche Lesart der Frage führt zu der Antwort: Sie erhöht die Sicherheit auf negative Weise: entweder durch Haftnotizen oder durch Verwendung zunehmender Zahlen oder Schichtnummern.

Dies kann das Risiko verringern von rechtlichen Fragen aus der Einhaltung jedoch.

#18
+5
Fabio says Reinstate Monica
2016-07-28 05:02:26 UTC
view on stackexchange narkive permalink

Viele Antworten weisen bereits darauf hin, dass es nicht sinnvoll ist, Benutzer häufig zum Ändern ihrer Kennwörter zu zwingen. Ich möchte die Meinung von Bruce Schneier hinzufügen, dem wahrscheinlich berühmtesten Sicherheitsexperten.

Grundsätzlich sagt er, dass es davon abhängt, was dieses Passwort schützt und wie ein gestohlenes Passwort kann verwendet werden. Das klingt offensichtlich, aber es ist überhaupt nicht offensichtlich, dass es zwischen dem Passwort für Facebook und dem für Ihr Online-Banking besser ist, das erstere zu ändern. Das ist richtig: Es ist sinnvoller, Ihr Facebook-Passwort zu ändern, als das Passwort Ihrer Bank. Mal sehen, warum.

Regelmäßiges Ändern Ihres Passworts hilft, falls jemand es gefunden hat und Sie es sind immer noch nicht bewusst, weil der Angreifer es vorzieht, heimlich zu sein. Abhängig von dem Konto, gegen das sie verstoßen haben, kann dies sinnvoll sein oder auch nicht.

  • In vielen Fällen unternimmt der Angreifer etwas, wenn er Ihr Kennwort entdeckt Das werden Sie sicherlich bemerken. Wenn er beispielsweise auf Ihr Bankkonto zugreifen kann, überweist er Geld daraus. Zitat von Bruce: "In diesem Fall ist es nicht sehr sinnvoll, Ihr Passwort regelmäßig zu ändern - aber es ist wichtig, es sofort nach dem Auftreten des Betrugs zu ändern." Die Idee ist, dass wenn niemand Geld von Ihrem Konto stiehlt, dies höchstwahrscheinlich bedeutet, dass niemand Ihr Passwort gefunden hat (warum sollten sie sonst warten?), Also gibt es keinen Grund, es zu ändern.

  • Stattdessen könnte jemand, der Ihr Facebook-Passwort stiehlt, es verwenden, um Sie auszuspionieren. Zum Beispiel könnte Ihre Frau damit prüfen, ob Sie einen Liebhaber haben. In diesem Fall werden Sie den Angriffsangriff nicht bemerken , da der Angreifer weiterhin in der Lage sein möchte, Sie auszuspionieren, damit er keine neuen Nachrichten oder etwas auffällt, das auffällt. Hier würde eine regelmäßige Änderung Ihres Passworts verhindern, dass sie fortfährt.

Angesichts der verschiedenen Angriffsszenarien ist das Ändern Ihres Facebook-Passworts nützlicher als das Ändern des Passworts Ihrer Bank. Es ist ziemlich kontraintuitiv, aber es macht Sinn.

+1 bis auf den letzten Satz.Wenn es Sinn macht, ist es per Definition nicht eingängig.
#19
+4
MikeF
2013-10-22 09:30:32 UTC
view on stackexchange narkive permalink

Ich persönlich halte es nicht für eine gute Idee, das Ablaufen von Kennwörtern für Bürobenutzer (oder Personen, die mit der Computernutzung kaum vertraut sind, geschweige denn für die Cybersicherheit) zu erzwingen, wie dies in vielen Organisationen der Fall ist. Wie oben erwähnt, besteht die größte Sicherheitslücke in diesem Fall darin, dass dieselben Bürobenutzer ihre Passwörter einfach auf Haftnotizen schreiben und sie auf ihren Bildschirmen einfügen oder in ihre Schreibtische stecken. Wenn die Person etwas "fortgeschrittener" ist, verwendet sie möglicherweise Kennwörter wie letmeinMONTHYEAR .

Ein regelmäßiger Ablauf des Kennworts ist jedoch eine gute Sache, sobald es mit dem gekoppelt ist ordnungsgemäße Passwortverwaltung. Offensichtlich können sich die meisten (nicht versierten) Personen keine wirklich sicheren Passwörter merken - so etwas wie v ^ i77u * UNoMTYPGAm $ . Was sollen wir also tun?

Ich persönlich verwende einen Passwort-Manager, der alle meine Passwörter bis auf eines, das Hauptkennwort, verfolgt. Dies vereinfacht die Dinge wirklich und macht sie viel sicherer (vorausgesetzt, mein Hauptkennwort ist selbst sicher und ich kann es leicht wiedergeben, um mich beim Kennwortmanager anzumelden.) Es gibt mehrere kommerzielle Kennwortmanager, die Sie entdecken und testen können euch. Ich persönlich benutze Lastpass, der für den allgemeinen Gebrauch kostenlos und sicher ist. Es ist über den Webbrowser verfügbar und kann auch als App auf Ihrem Smartphone oder Tablet installiert werden. In Bezug auf Sicherheitsbedenken, dass eine Drittanbieterlösung alle Ihre Passwörter verwalten kann, verlasse ich mich auf die Überprüfung durch Steve Gibson. Sie können die Vollversion davon hier ansehen.

"Ich verlasse mich auf die Überprüfung durch Steve Gibson." Oh Junge
@forest, haben Sie hier eine inhaltliche Kritik?Für echte Menschen ist Sicherheit ein Kompromiss zwischen vielen verschiedenen Dingen.Die Zeit, um die Sicherheit eines solchen Tools richtig zu bewerten, ist eines der vielen Dinge, die für die meisten Menschen einfach nicht die Investition wert sind, da das Risiko einer Kennwortkompromittierung über das Tool so gering ist, dass die vielen Stunden für eine gründliche Durchführung erforderlich sindÜberprüfung sind verschwendet.Haben Sie selbst für Sicherheitsexperten den Code Ihres Betriebssystems, Ihres Browsers und jeder Software auf Ihrem Computer überprüft, die Ihre Passwörter berührt?Was ist mit deinen Fahrern?
@Paul Ich habe einen Großteil des Codes auf meinem Betriebssystem "validiert", einschließlich der Treiber.Ich habe den Browser nicht validiert (ehrlich gesagt, sowohl Firefox- als auch Chromium-Code lassen meine Augen bluten), da nur ein Kernel benötigt wird, der in der Lage ist, eine Sicherheitsrichtlinie rund um den Browser aufrechtzuerhalten.Das ist der TCB.
#20
+4
WBT
2016-03-04 02:19:53 UTC
view on stackexchange narkive permalink

Wenn Ihre Benutzer Menschen sind, erhöht dies nicht unbedingt die Sicherheit.
Siehe FTC-Beitrag " Zeit, um obligatorische Kennwortänderungen zu überdenken" von Chief Technologist Lorrie Cranor, basierend auf Untersuchungen darüber, wie Menschen diese Systeme tatsächlich nutzen. (Berichterstattung der Washington Post hier.)

Wie im SANS-Sicherheitsblog erläutert, lautet "Eine der wichtigsten Richtlinien für Verhaltensänderungen ist [to ] konzentrieren sich auf die wenigsten Verhaltensweisen, die das größte Risiko angehen. " Die Kosten für das Erfordernis der Kennwortänderungen werden besser dafür aufgewendet, den Benutzern die Verwendung sicherer, eindeutiger Kennwörter und / oder Kennwortmanager / Multifaktorauthentifizierung beizubringen. Darüber hinaus sind die Vorteile von Kennwortänderungen jetzt geringer geworden, da Angriffe viel schneller ausgeführt werden können und oftmals als die langen, langsamen manuellen Angriffe, die durch Kennwortänderungen verhindert werden könnten.

Erklärungen ablehnen? Ist das nicht eine glaubwürdige Quelle oder nützliche Information?
Nur-Link-Antworten sind im Allgemeinen verpönt - es ist besser, die relevanten Teile zu extrahieren und sie hier aufzunehmen, falls Link verrottet
Scheint eher ein Grund zu sein, Änderungen vorzuschlagen, die das hinzufügen, was die Leute für die wichtigsten Teile halten, als die Quelle zu vergraben.
Während dieser Link die Frage beantworten kann, ist es besser, die wesentlichen Teile der Antwort hier aufzunehmen und den Link als Referenz bereitzustellen. Nur-Link-Antworten können ungültig werden, wenn sich die verknüpfte Seite ändert.
@WBT Ich vermute hier, aber da Sie derjenige sind, der die Wiederholungspunkte erhalten würde, vermute ich, dass die Leute lieber einen eigenen Beitrag verfassen würden, der auf dieselbe Quelle verweist, aber die wichtigsten Punkte daraus extrahiert, als Ihren zu bearbeiten ...
#21
+4
Hubert Kario
2011-07-12 03:42:59 UTC
view on stackexchange narkive permalink

Verlorene, verlegte oder gestohlene Hardware kann auch ein Angriffsvektor sein, der den Zugriff auf bestenfalls verschleierte Passwörter ermöglicht.

Angreifer können ein Smartphone stehlen und Passwörter für WiFi wiederherstellen - in den meisten Fällen das allgemeine Benutzerkonto.

Wenn der Benutzer bemerkt, dass etwas gestohlen wurde, sollte er das Passwort sofort ändern, wenn er sich um die Sicherheit kümmert. Regelmäßige Passwortänderungen (einige Monate) sind in diesem Fall nicht relevant.
Das Problem von @user2529583: ist, dass Benutzer im Allgemeinen * nicht * auf Sicherheit achten. Es ist eine Belastung für sie - etwas, das viele von ihnen als von Nerds gegründet betrachten, nur um sie zu quälen.
#22
+3
user53510
2014-08-14 18:58:05 UTC
view on stackexchange narkive permalink

Ich würde eher zustimmen, dass dies in erster Linie eine Compliance-gesteuerte Anforderung mit bestenfalls einer geringfügigen Nettoerhöhung der Sicherheit ist (leider mit erheblichen Kosten für den Verlust der Betriebsverfügbarkeit, da ansonsten legitime Benutzer nach 90 gesperrt werden Tage, an denen die Kommunikation von Maschine zu Maschine fehlschlägt, weil ihre Kennwörter abgelaufen sind und niemand sie aktualisiert hat, ruft der Helpdesk auf, um Probleme beim Zurücksetzen von Kennwörtern zu lösen usw.

Allerdings gibt es triftige Gründe dafür Durchsetzung einer solchen Richtlinie (obwohl - diese Rechtfertigungen durch die relativ lange Gültigkeitsdauer eines bestimmten Passworts erheblich verkürzt werden ... Wenn ein Cyber-Gauner Ihr Passwort 90 Tage lang erhält, kann er oder sie eine Menge Schaden anrichten kann).

Der größte Vorteil ergibt sich aus dem folgenden Szenario:

  1. Sie werden gehackt oder auf andere Weise kompromittiert, und der Cyber-Gauner findet Ihren Benutzernamen und heraus Passwort.

  2. Es befindet sich in der Nähe des Zeitbereichs "Änderungsschwelle" d (normalerweise - Ende des Quartals, und glauben Sie nicht, dass Cyber-Gauner das nicht wissen).

  3. Sie müssen Ihr "altes" Passwort ändern (was sowohl Sie als auch der Cyber-Gauner wissen).

  4. Sie befolgen die Unternehmensrichtlinien und ändern Ihr Passwort. Dies bedeutet, dass der Cyber-Gauner jetzt wieder gesperrt ist. Er oder sie kann versuchen, die gleichen Methoden wie zuvor zu verwenden, um auch unbefugten Zugriff auf diesen Berechtigungsnachweis zu erhalten. Dies kann jedoch ärgerlich und zeitaufwändig sein.

  5. ol>

    Der Punkt hier ist, "das Passwort in etwas Neues zu ändern", ist etwas, was ein Cyberkrimineller normalerweise nicht tun wird, weil aus seiner Sicht (es sei denn natürlich, der Passwort-Hijack ist wirklich eine Art Ablehnung -of-Service-Angriff), das Ändern des Passworts und das Sperren des legitimen (ursprünglichen) Besitzers aus dem Konto, macht den legitimen Benutzer sofort darauf aufmerksam, dass etwas Unangenehmes passiert.

    Dies kommt zu der Tatsache hinzu, dass Cyberkriminelle normalerweise Tausende von Passwörtern gleichzeitig entführen. Das Ändern all dieser Elemente kann eine mühsame Aufgabe sein, insbesondere weil sie möglicherweise keinen Zugriff auf die Back-End-Systeme haben, die so eingerichtet sind, dass legitime Benutzer dies tun können dass Cyber-Gauner normalerweise ihr eigenes, privilegiertes Konto einrichten, sobald sie unbefugten Zugriff auf Ihr System erhalten, oder die anderen potenziellen Schwachstellen im Paradigma der "obligatorischen 90-Tage-Kennwortänderung" ignorieren sollen, das diese vorherrscht Tage. Stellen Sie sich diese Regel als ein (untergeordnetes) Element in Ihrer mehrschichtigen Verteidigungsstrategie vor, und Sie werden sehen, dass sie einen Platz hat ... aber es ist sicherlich nichts, worauf Sie sich verlassen sollten, um die Bösen fernzuhalten. P. >

#23
+3
SilverlightFox
2015-01-23 18:05:47 UTC
view on stackexchange narkive permalink

Wenn relativ sichere Passwörter verwendet werden, ist dies nicht der Fall. Kennwörter müssen möglicherweise regelmäßig geändert werden, wenn sie möglicherweise offline geknackt werden können, wenn es einem Angreifer gelungen ist, Hashes aus der Datenbank zu extrahieren. Das Erzwingen von Kennwortänderungen scheint jedoch eine schwache Form der Sicherheit zu sein, wenn Benutzer aufgefordert werden sollten, sichere Kennwörter auszuwählen, beispielsweise basierend auf langen Passphrasen.

Ohne Kenntnisse über die Kennwortsicherheit wählen die meisten Benutzer keine sicheren Kennwörter Das 90-Tage-Änderungslimit dient zum Schutz dieser Konten. Da diese Benutzer die Sicherheit ihres Kontos nicht verstehen oder sich nicht darum kümmern, wählen sie wahrscheinlich ein anderes schwaches Passwort, das möglicherweise auf ihrem alten basiert (was bedeutet, dass ein Angreifer das alte knacken und dann Variationen davon bei einem Online-Angriff verwenden kann). . Die Verwendung der 90-Tage-Richtlinie in Kombination mit der Überprüfung der Ähnlichkeit des neuen Passworts mit dem alten kann als hilfreich angesehen werden. Die Passwörter anderer Benutzer sind schwieriger zu knacken, obwohl dies durchaus möglich ist, wenn ein Angreifer genügend Zeit zur Verfügung stellt. Jedes Passwort mit einer Entropiestärke von weniger als 128 Bit bedeutet, dass es möglicherweise irgendwann geknackt wird, es sei denn, es sei denn Ein Angreifer ist speziell an einem bestimmten Konto interessiert. Dies hat eine sehr geringe Wahrscheinlichkeit.

Ein möglicherweise guter Grund für das Ändern von Kennwörtern besteht darin, dass Benutzer Kennwörter häufig an unsicheren Orten speichern. Beispielsweise hat die Funktion zur automatischen Vervollständigung des Browsers möglicherweise das Kennwort auf dem Computer eines Freundes gespeichert. Dies ist jedoch weder hier noch dort.

Aus diesem Grund wird es als bewährte Methode angesehen, sie von Zeit zu Zeit zu ändern. Die 90 Tage sorgen für den kleinsten gemeinsamen Nenner. Benutzer, die sichere Kennwörter verwenden, die mit einem Kennwortgenerator generiert wurden, haben nur minimalen Aufwand, um ihre zu ändern, sodass diese Richtlinie keine wesentlichen Probleme verursachen sollte. Ich kann verstehen, dass Benutzer mit vielen Konten mit dieser Richtlinie verärgert sind.

Ein weiterer Grund für die häufige Änderung Ihres Passworts ist, dass Passwortspeicheralgorithmen wie bcrypt und andere Funktionen zur Schlüsselableitung eine Iterationszahl haben, die erhöht werden kann, um den Arbeitsfaktor als Moore zu erhöhen Gesetz greift. Durch Eingabe eines neuen Kennworts kann der Kennwort-Hash mit mehr Iterationen erneut gespeichert oder der gesamte Hashing-Algorithmus aktualisiert werden, wenn sich die Sicherheitslage des Systems erhöht. Wenn auf der Site beispielsweise ursprünglich Klartextkennwörter gespeichert, dann auf SHA-1, dann auf SHA-1 mit Salt migriert und schließlich verschlüsselt wurden, wird das Ändern des Kennworts häufig als Gelegenheit zum Aktualisieren des gespeicherten Formats für diesen Benutzer verwendet innerhalb der Datenbank.

Beachten Sie, dass eine Kennwortänderung technisch nicht erforderlich ist, nur dass viele Systeme das Kennwort zu diesem Zeitpunkt in den Speicher umschreiben. Sie können dies jedoch auch bei erfolgreicher Anmeldung tun, da das Klartextkennwort dies tut auch an dieser Stelle verfügbar sein. Das Erzwingen einer Kennwortänderung hilft in diesen Fällen und hat auch den Vorteil, dass bei unentdeckten Sicherheitslücken durch Kennwortlecks auf der Site (z. B. SQL-Injection) das Kennwort in etwas Sichereres geändert wurde und das Hashing-Format vorliegt Aktualisiert. Beachten Sie, dass das Erzwingen einer Kennwortänderung nicht dazu beiträgt, inaktive Konten zu aktualisieren. Aus diesem Grund schreiben einige Standards vor, dass inaktive Konten nach einer bestimmten Zeit deaktiviert werden (z. B. PCI nach 90 Tagen) - wenn das Kennwort auch in einem bestimmten Format in der Datenbank gespeichert ist Es wird auch empfohlen, dies auszublenden, falls der Benutzer es an anderer Stelle wiederverwendet hat und es später durchgesickert ist.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...