Der Grund, warum Kennwortablaufrichtlinien existieren, besteht darin, die Probleme zu verringern, die auftreten würden, wenn ein Angreifer die Kennwort-Hashes Ihres Systems erwerben und diese beschädigen würde. Diese Richtlinien tragen auch dazu bei, das Risiko zu minimieren, das mit dem Verlust älterer Sicherungen an einen Angreifer verbunden ist.

Wenn ein Angreifer beispielsweise einbricht und Ihre Schattenkennwortdatei abruft, kann er die Kennwörter brutal erzwingen ohne weiteren Zugriff auf das System. Sobald sie Ihr Passwort kennen, können sie auf das System zugreifen und beliebige Hintertüren installieren, es sei denn, Sie haben Ihr Passwort in der Zeit zwischen dem Erwerb der Schattenpasswortdatei durch den Angreifer und dem brutalen Erzwingen des Passwort-Hash geändert. Wenn der Kennwort-Hash-Algorithmus sicher genug ist, um den Angreifer 90 Tage lang abzuhalten, stellt der Kennwortablauf sicher, dass der Angreifer mit Ausnahme der bereits erhaltenen Liste der Benutzerkonten keinen weiteren Wert aus der Schattenkennwortdatei erhält.

Während kompetente Administratoren die eigentliche Schattenkennwortdatei sichern, neigen Organisationen insgesamt dazu, bei Backups, insbesondere bei älteren Backups, nachlässiger zu sein. Im Idealfall würde natürlich jeder mit dem Band, auf dem sich das Backup von vor 6 Monaten befindet, genauso vorsichtig sein wie mit den Produktionsdaten. In der Realität werden jedoch einige ältere Bänder in großen Organisationen unweigerlich verlegt, falsch abgelegt und gehen ansonsten verloren. Richtlinien zum Ablaufen von Kennwörtern begrenzen den Schaden, der entsteht, wenn eine ältere Sicherung aus demselben Grund verloren geht, aus dem sie die Gefährdung der Kennwort-Hashes vom Live-System abschwächt. Wenn Sie eine 6 Monate alte Sicherung verlieren, die vertraulichen Informationen verschlüsseln und alle Kennwörter seit der Sicherung abgelaufen sind, haben Sie wahrscheinlich nur die Liste der Benutzerkonten verloren.

Ich habe vorher argumentiert, dass es nichts verbessert. Aus diesem Beitrag:

Offensichtlich kennt der Angreifer Ihr Passwort nicht a priori, oder der Angriff wäre keine Brute-Force. Die Vermutung ist also unabhängig von Ihrem Passwort. Sie wissen nicht, was der Angreifer hat, nicht hat oder als nächstes testen wird - alles, was Sie wissen, ist, dass der Angreifer alle möglichen Vermutungen erschöpft, wenn genügend Zeit zur Verfügung steht. Ihr Passwort ist also unabhängig von der Vermutungsverteilung.

Ihr Passwort und die Vermutung des Angreifers über Ihr Passwort sind unabhängig. Die Wahrscheinlichkeit, dass die nächste Vermutung des Angreifers richtig ist, ist dieselbe, auch wenn Sie zuerst Ihr Passwort ändern. Richtlinien zum Ablauf von Kennwörtern können Brute-Force-Angriffe möglicherweise nicht abschwächen.

Warum erzwingen wir Richtlinien zum Ablauf von Kennwörtern? Das ist eigentlich eine sehr gute Frage. Angenommen, ein Angreifer erhält Ihr Passwort.

Das Zeitfenster, in dem diese Bedingung ausgenutzt werden kann, hängt von der Zeit ab, für die das Passwort gültig ist, oder? Falsch: Sobald der Angreifer das Passwort erhalten hat, kann er eine Hintertür installieren, ein anderes Konto erstellen oder andere Schritte unternehmen, um den fortgesetzten Zugriff sicherzustellen. Wenn Sie das Kennwort nachträglich ändern, wird ein Angreifer besiegt, der nicht klar denkt, aber letztendlich sollte eine umfassendere Reaktion eingeleitet werden.

Richtlinien zum Ablauf des Kennworts ärgern unsere Benutzer und helfen niemandem.

Bevor Sie antworten, ob es hilft oder nicht, ist es sinnvoll, bestimmte Szenarien zu betrachten. (Dies ist häufig eine gute Idee, wenn Sicherheitsmaßnahmen durchgeführt werden.)

In welchen Situationen mindert eine erzwungene Kennwortänderung die Auswirkungen?

Der Angreifer kennt das Kennwort eines Benutzers, hat es jedoch keine Hintertür. Er möchte nicht entdeckt werden, daher ändert er das Kennwort nicht selbst.

Mal sehen, ob dieses Szenario wahrscheinlich ist:

Wie hat er das Kennwort möglicherweise gelernt?

• Das Opfer hat es ihm möglicherweise gesagt (z. B. ein neuer Praktikant, der mit der Arbeit beginnen sollte, bevor er sein eigenes Konto eingerichtet hat, eine andere Person, die ein Konto in einem Online-Spiel einrichten sollte
• Der Angreifer Möglicherweise haben Sie die Tastatur überwacht.
• Der Angreifer hatte möglicherweise Zugriff auf eine andere Kennwortdatenbank, in der der Benutzer dasselbe Kennwort verwendet hat.
• Eine einmalige Anmeldung mit einem Computer, der Eigentum von (vorbereitet) von ist ein Angreifer.

Was könnte ihn daran gehindert haben, eine Hintertür einzurichten?

• Der betreffende Dienst bietet möglicherweise keine Möglichkeit für Hintertüren, z E-Mail-Posteingang oder gängige Webanwendungen
• Die Berechtigungen des Benutzers verfügen möglicherweise nicht über ausreichende Berechtigungen zum Installieren einer Hintertür.
• Der Angreifer verfügt möglicherweise nicht über die erforderlichen Kenntnisse (im Online-Spiel Stendhal die meisten "Hacks" "sind fertig b y wütende Geschwister, die nur ein Spielzeug zerstören wollen)
• Der Angreifer ist möglicherweise noch nicht böse geworden. (zB ein Mitarbeiter, der nächsten Monat entlassen wird, aber im Moment nichts vermutet).

Warum nicht das erzwungene Ablaufen des Passworts verwenden?

Es kann sehr ärgerlich sein für Benutzer, die sie veranlassen, am Ende nur einen Zähler hinzuzufügen. Dies kann die Entropie von Passwörtern verringern. Nach meiner Erfahrung entstehen zusätzliche Supportkosten, da die Benutzer ihr neues Passwort häufiger als gewöhnlich vergessen. Ich denke, das liegt daran, dass die Eingabeaufforderung zum Ändern des Passworts sie überrascht, während sie über etwas anderes nachdenken.

Zum Abschluss

Es ist alles andere als ein Allheilmittel und wirkt sich negativ auf die Benutzerfreundlichkeit aus. Es ist jedoch sinnvoll, dies gegen die Wahrscheinlichkeit und den Einfluss von Szenarien abzuwägen, die den oben beschriebenen ähnlich sind.

Eine Studie von Microsoft kam zu dem Schluss, dass die Richtlinie zum Ablaufen des Kennworts die Sicherheit in realen Szenarien nicht erhöht.

Diese Artikel wurden entfernt, sind jedoch im Internetarchiv verfügbar:

• Bitte ändern Sie Ihr Passwort nicht
• Studie: Häufige Passwortänderungen sind nutzlos

Original: So lange und nein, danke für die externen Effekte: Die rationale Ablehnung von Sicherheitsratschlägen durch Benutzer

Wir haben alle unsere Meinung, aber wir sollten auch nach aktueller Forschung zu dieser Frage suchen. Neben dem Artikel von Cormac Herley von Microsoft über Website-Passwörter, der in Sumas Antwort vermerkt ist, gibt es einen Artikel von ACM CCS 2010: "Die Sicherheit des Ablaufs moderner Passwörter: Ein algorithmischer Rahmen und eine empirische Analyse" (pdf) , geschrieben von Yinqian Zhang, Fabian Monrose und Michael Reiter. Sie haben einen großartigen Datensatz analysiert und eine gute Analyse durchgeführt, wie effektiv die Richtlinien zum Ablauf von Kennwörtern wirklich sind. Ihre Schlussfolgerung? Es ist nicht sehr nützlich, Benutzer zu zwingen, ihr Kennwort alle sechs Monate zu ändern:

Mindestens 41% der Kennwörter können innerhalb von Sekunden und fünf Sekunden von früheren Kennwörtern für dieselben Konten offline getrennt werden Erwartungsgemäß reichen Online-Kennwortschätzungen aus, um 17% der Konten zu beschädigen.

.... Unsere Erkenntnisse legen nahe, dass es möglicherweise angebracht ist, den Ablauf des Kennworts vollständig zu beseitigen, möglicherweise als Zugeständnis, während Benutzer dies verlangen Investieren Sie die Mühe, ein wesentlich stärkeres Passwort auszuwählen, als dies sonst der Fall wäre (z. B. eine viel längere Passphrase). ....

Langfristig glauben wir, dass unsere Studie die Schlussfolgerung stützt, dass die einfache passwortbasierte Authentifizierung sofort aufgegeben werden sollte.

Für Untersuchungen, wie man helfen kann Benutzer wählen stärkere Kennwörter, siehe Empfohlene Richtlinie zur Kennwortkomplexität - IT-Sicherheit

Die einzigen zwei guten Gründe, die ich gehört habe:

1. Zeitfenster - In einem Online-Angriffsszenario sagen Sie, dass Sie das Konto für 30 sperren Minuten nach 10 falschen Versuchen (die von Microsoft empfohlene Einstellung für Hochsicherheitsumgebungen). Ohne Ablauf des Kennworts gibt es möglicherweise ein unbegrenztes Zeitfenster, um Wörterbuch-, Brute-Force- und gängige Kennwortangriffsmethoden zu versuchen. Der Ablauf des Passworts begrenzt dies. In einem Offline-Szenario, in dem Sie nicht feststellen, dass Ihre Passwörter gestohlen wurden, bietet das erneute Ablaufen von Passwörtern dem Angreifer ein begrenztes Zeitfenster, um die Passwörter zu knacken, bevor sie unbrauchbar werden. Natürlich, wie @ graham-lee feststellt, benötigen Sie andere Kontrollen, um Dinge wie eine Hintertür zu erkennen.

2. Compliance - praktisch jede Aufsichtsbehörde und jeder Prüfer sucht nach Ablauf des Passworts. Einschließlich PCI-DSS, HIPAA, SOX, Basel II usw. Richtig oder falsch ist dies die Welt, in der wir leben. Außerdem wurde "niemand wegen des Kaufs der IBM-Theorie gefeuert". Wenn Sie keinen Kennwortablauf haben und andere in Ihrer Branche dies tun, wenn Sie gehackt werden, haben Sie nicht die "branchenüblichen Praktiken" befolgt. Noch wichtiger ist, dass die Geschäftsleitung dies nicht der Presse, einer Aufsichtsbehörde oder einem Gericht sagen kann. Der gleiche Grund für die vollständige Inspektion von Firewalls, Antivirenprogrammen und IDS, obwohl diese heute weniger effektiv sind als vor 10 Jahren.

ol>

Das heißt, wie jeder gesagt hat, ist eine Kennwortänderung für die Benutzererfahrung schrecklich, insbesondere wenn es keine oder nur eine begrenzte einmalige Anmeldung gibt, kann dies zu einem "Tag der Kennwortänderung" führen, an dem ein Benutzer das Kennwort für seine 30 Systeme durchläuft und ändert zum gleichen normalerweise durch Inkrementieren einer Ziffer. Dies ist eindeutig kein gewünschtes Verhalten. Meine Empfehlung für die Änderung dieser Kultur, wenn dies in Ihrer Regulierungs- / Prüfungsumgebung möglich ist, besteht darin, Ihre Richtlinie zu ändern, um das Ablaufen des Kennworts mit einer klaren Begründung zu entfernen (hier reichlich vorhanden). Lassen Sie dies von der zuständigen Sicherheitsbehörde genehmigen und von der Prüfung / Aufsichtsbehörde überprüfen. Dann wechseln Sie die Systeme. Verwenden Sie alternativ mehrere Single Sign-On- und Verbund-IDs, idealerweise mit zwei Faktoren, sodass mindestens Benutzer nur ein oder mehrere Kennwörter ändern müssen.

Ein hier nicht genannter Grund ist, dass dadurch verhindert wird, dass Personen, die für alles dasselbe Kennwort verwenden , Ihr System kompromittiert werden, wenn ihr Kennwort an einer anderen Stelle ermittelt wird. Nach Ablauf einiger Kennwörter müssen Benutzer zunächst Originalkennwörter erstellen. Wenn also ihr Lieblingskennwort gestohlen wird und alle E-Mails, Websites sozialer Netzwerke und persönlichen Konten gehackt werden, ist Ihr System weiterhin sicher.

Inwieweit verbessert ein Ablauf von Kennwörtern die Sicherheit?

Dieses Bild zeigt für einige Szenarien die Beziehung zwischen Zeit und Wahrscheinlichkeit, dass ein Brute-Force-Angriff auf einen Kennworttyp erfolgreich war , abhängig von der regelmäßigen Änderung des Passworts. Die absolute Zeitspanne ist von geringem Interesse. Wie lange es dauert - entweder gibt es keinen großen Unterschied oder die Sicherheitsanfälligkeit ist bereits ziemlich hoch.

Wie bereits von anderen erwähnt, gibt es verschiedene Szenarien, in denen das Ändern des Kennworts hilfreich sein kann:

• a) Benutzer A teilt einem Mitarbeiter B in einer besonderen Situation sein Passwort mit. Später wird B gefeuert. Er könnte jetzt darüber nachdenken, das Passwort von A zu missbrauchen (sein eigenes Konto wird gelöscht, nehmen wir an), aber es könnte einige Zeit dauern (z. B. einen Streit gegen das Unternehmen vor Gericht zu verlieren), bevor er seinen Angriff startet. Hier ist es sehr nützlich, das Passwort zu ändern - aber natürlich nicht von secret2010 zu secret2011.
• b) Der Angreifer hat Zugriff auf die Schattendatei und erzwingt mit einer gewissen Menge an CPU-Leistung ( oder GPU).

Im Fall b) sieht die Richtlinie zum Ändern des Kennworts vernünftig aus, aber Sie profitieren nur, wenn das Risiko, anfällig zu sein, bereits sehr hoch ist. Lassen Sie es mich mit Zahlen erklären:

Angenommen, ein Angreifer versucht 250 000 Kennwörter pro Sekunde. Angenommen, das Kennwort läuft nach 183 Tagen (ca. 6 Monaten) ab. Das Kennwort wird aus a-zA- generiert. Z0-9 mit 62 Zeichen. Angenommen, das Kennwort ist 8 Zeichen lang. Überprüfen Sie, wie wahrscheinlich ein Einbruch nach 10 Jahren ist, was 20 Änderungsintervallen entspricht.

Ich habe ein Programm geschrieben a>, um verschiedene Parameter zu testen; Rufen Sie das Programm mit

  java PasswordCrackProb 8 62 250000 s auf. 183 20len = 8signs = 62 Angriffe pro Tag = 21 600 000 000 Austausch nach Tagen = 183 Intervalle = 20 Tage = 3660 Jahre = 10M = 218 340 105 584 896attacks = 79 056 000 000 000p (geknackt) = 0,3620773 ohne changep (geknackt) = 0,3060774 mit change  

Das Ergebnis bedeutet, dass es mit einer Wahrscheinlichkeit von 36% geknackt wird, wenn das Kennwort nicht geändert wurde, und mit einer Wahrscheinlichkeit von 31%, wenn es geändert wurde (der Angreifer verfügt jedoch über eine neue Schattendatei). Der Unterschied ist signifikant, und noch mehr, wenn wir 40 Intervalle wie 20 Jahre länger dauern:

  p (geknackt) = 0,7241546 ohne changep (geknackt) = 0,5184715 mit Änderung  

, aber während 52% viel niedriger als 72% sind, sind 52% möglicherweise nicht akzeptabel.
Wenn wir jedoch kleinere Intervalle betrachten, ist der relative Unterschied zwischen geändert und unverändert Passwörter werden immer kleiner.

  p (geknackt) = 0,0905193 ohne Änderungp (geknackt) = 0,0873006 mit Änderung  

Wenn Sie mehr annehmen CPU-Leistung oder schwächere Passwörter, die Crack-Zeit wird natürlich kürzer, aber die Anzahl der Angriffe pro Tag ist nicht sehr interessant. Wir müssen davon ausgehen: Wir können den Benutzer nicht zwingen, das Passwort täglich zu ändern. Einige Tage - vielleicht eine Woche - sind also das Minimum. Und wir brauchen kein Maximum länger als 20 Jahre. Systeme ändern sich, Menschen wechseln den Arbeitsplatz. Sie können es nicht vermeiden, das Kennwort nach 20 Jahren zu ändern.

Wenn der Angreifer zu viel Macht hat und den gesamten Namespace an einem einzigen Tag brutal erzwingt, hilft Ihnen eine wöchentliche Änderung nicht viel - er gewinnt immer . Und wenn der Angreifer in 50 Jahren nur 1% des Namespace (für eine bestimmte Kennwortlänge) brutal erzwingen kann, hilft es auch nicht, das Kennwort zu ändern - Sie werden (fast) immer gewinnen.

Nur in einem mittelschweren, ausgewogenen Szenario kann die Kennwortänderung einen Unterschied bewirken. Wissen Sie jedoch wirklich, ob der Bösewicht 1, 10 oder 100 Jahre benötigt, um Ihr Kennwort brutal zu erzwingen?

Aber behalten Sie es Denken Sie daran: Wenn der Angreifer nur einmal Zugriff auf Ihre jetzt abgelaufene Schattendatei hatte, passt der Vergleich aus meinem Programm nicht.

Einfache Antwort - heutzutage hilft es fast nie mehr. Frühere Antworten geben die beiden wichtigsten Szenarien an, in denen dies der Fall sein wird, aber selbst dann sind 90 Tage immer noch nicht so nützlich.

Es könnte schlimmer sein - wir haben lange Zeit damit verbracht, die Leute davon zu überzeugen, dass 30 Tage zu kurz waren, aber zurück in der Zeit Tag, an dem der Diebstahl des SAM relativ einfach war, waren die Leute sehr besorgt über einen Brute-Force-Angriff auf den SAM. Wir haben viele Unternehmen dazu gebracht, sich auf einen Kompromiss von 90 Tagen zu einigen, aber obwohl die Cracking-Leistung definitiv gestiegen ist, sind Hashes besser geschützt und im Allgemeinen haben die meisten Orte jetzt mindestens einige Regeln für die Komplexität von Passwörtern, so dass dies weitaus weniger wichtig geworden ist. P. >

Ich möchte nur eines hinzufügen. Wir können dieses Problem aus sozialer Sicht angehen. Indem wir das Passwort alle X Tage zurücksetzen, teilen wir dies dem Benutzer mit - Hey, das ist wichtig und sollte nicht leicht genommen werden!

Als eines der neuen Dinge in der neuen NIST-Veröffentlichung mit dem Namen Special Publication 800-63-3:

Kein Ablauf mehr ohne Grund. [.. .] Wenn Benutzer die Anforderungen erfüllen und lange, schwer zu erratende Kennwörter auswählen sollen, sollten sie diese Kennwörter nicht unnötig ändern.

Von: https: // nackte Sicherheit.sophos.com/2016/08/18/nists-new-password-rules-what-you-need-to-know/

Die Veröffentlichung von NIST selbst finden Sie hier : https://github.com/usnistgov/800-63-3

Es gibt einige andere Empfehlungen, die die Infosec-Welt seit langem akzeptiert: mindestens 8 Zeichen, maximale Länge 64 Zeichen oder länger, keine Kennworthinweise oder geheimen Fragen, alle Zeichen (einschließlich Emoji) zulassen und keine nervigen Regeln wie "muss ein Sonderzeichen, aber kein Dollar- oder Prozentzeichen enthalten".

Es ist immer noch ein Entwurf, aber er beantwortet so ziemlich die Frage.

Eine wichtige Überlegung, die Sie bei der Befragung berücksichtigen sollten, ist, dass Sie möglicherweise nicht wissen, dass Ihr Konto bereits verletzt wurde.

Wenn Ihr Passwort kompromittiert worden wäre und Sie sich dessen bewusst wären, würden Sie dies offensichtlich tun Bewegen Sie sich auf jeden Fall sofort, um es zu ändern.

Indem Sie gezwungen werden, Ihr Passwort alle 90 Tage zu ändern (oder das Konto zu sperren), verringern Administratoren zwei Risiken.1. Diese inaktiven Benutzer / Konten stehen einem Angreifer für unbegrenzte Zeit zur Verfügung, um zu versuchen, ihren Weg in Brute-Force zu erzwingen.2. Falls Sie nicht verletzt wurden, müssen Sie Ihr Passwort unabhängig davon ändern (wodurch der Angreifer erneut aus Ihrem Konto gesperrt wird)

In dem Sinne scheint es irgendwie besser zu sein, dass die Institution erzwingt, Kennwörter in regelmäßigen Abständen zu ändern. Wenn der Benutzer jedoch die Kennwörter in dem Intervall ändert, aber immer ein Muster hinter seinen Änderungen zurücklässt, ist es nicht sinnvoll, die Kennwörter zu ändern. Es ist stattdessen eine ernstere Bedrohung. Der Benutzer hat das Gefühl, seine letzten Passwörter geändert zu haben, und fühlt sich sicher. und der Angreifer erhält immer einen Hinweis auf das Kennwort.

-

Der beste Weg ist immer, dem Dienstanbieter vorzuschlagen, einen besseren und sichereren Algorithmus zu implementieren, als nach seinen Endbenutzern zu fragen um das verdammte Passwort jedes Mal zurückzusetzen. Wenn jemand gleich genug ist, wird er / sie bedenken, dass wir heutzutage Single Sign On und OpenID haben, bei denen sich die Leute lieber mit einem Konto anmelden, als sich unterschiedliche Passwörter für verschiedene Websites zu merken.

- Trotzdem Von allen Diskussionen wird empfohlen, Ihr Passwort häufig zu ändern.

  Auf IHREM FREIEN WILLEN  

Ein kurzer Tipp: Verwenden Sie mehrere Wörter in Ihrem Passwort (Das sicherste bis dato gekennzeichnete).

Die meisten Online-Dienste (z. B. Banken) begrenzen die Anzahl der Online-Versuche pro Zeiteinheit, wodurch ein Brute-Force-Angriff nutzlos wird.

Das Ergebnis einer Kennwortänderungsrichtlinie ist fast immer ein Sicherheitsrisiko. Es kann die Form eines PostIt-Passworts oder von Passwörtern in der Form pass! 1000 annehmen, die in pass! 1001 und dann in pass! 1002 und so weiter.

Wir drehen 'öffentliche Passwörter' (Gast-WLAN), um den Zugriff von Mitarbeitern zu spülen, die das Unternehmen inzwischen verlassen haben .

Wir akzeptieren die Lasten des Rotierens von 'individuellen Passwörtern'. , weil a) wir immer mit der Annahme beginnen, dass die Konten aller Nicht-Technikfreaks bereits gehackt wurden. Und b) , um alle Konten, die vergessen . Da der Zugriff ' zentralisiert neues Passwort festlegen' der einzige ist, den wir nie vergessen zu schließen. ( Ausfallsicherer Ablauf aller Single Sign-On-Abhängigkeiten ) Dies schließt auch Hardware (Notebooks) ein, die an einen neuen Eigentümer übergeben werden und möglicherweise über gespeicherte Kennwörter verfügen.

( c) Außerdem werden die Benutzer darüber informiert, wo ihre Kennwörter automatisch gespeichert werden .)

( d) Außerdem können wir den Leuten sagen, dass sie nach einem fragwürdigen Datenverlust alle Ihre Passwörter ändern sollen. Dies funktioniert nur zuverlässig bei Mitarbeitern, die in der Kennwortänderung geschult wurden.

Kurz gesagt, der automatische Ablauf ist ein Schutz vor Personen, die sich nicht so verhalten, wie Sie es von ihnen verlangt haben .

Um das bereits Gesagte zu ergänzen, kann ich mir zwei weitere Gründe vorstellen, warum das regelmäßige Ändern von Passwörtern hilfreich ist:

1) Wenn die Rechenleistung erheblich ansteigt

Sagen Sie, in Anfang der 90er Jahre wurden 7-Zeichen-Passwörter als sicher angesehen, da Computer bei weitem nicht leistungsfähig genug waren, um sie zu erzwingen.

24 Jahre später können Systeme, die immer noch dasselbe Passwort haben, erfolgreich brutal erzwungen werden.

Einige Berechnungen bestehen unter Berücksichtigung des Passworts aus 24 Buchstaben (Groß- und Kleinbuchstaben), 10 Zahlen und 10 Symbolen sowie dem Moore'schen Gesetz (x2 mehr Potenz alle 2 Jahre):

  mögliche Kombinationen = (24 +) 24 + 10 + 10) ^ 7 = 6.722.988.818.432 Versuche pro Sekunde im Jahr 1990 = 100.000 (zum Beispiel) benötigte Zeit im Jahr 1990 = mögliche Kombinationen / Versuche pro Sekunde = 2 Jahre pro Sekunde im Jahr 2014 = Versuche pro Sekunde im Jahr 1990 * (2 ^ 12 ) = 409.600.000 Zeit im Jahr 2014 erforderlich = mögliche Kombinationen / Versuche pro Sekunde = 4 Stunden  

Hier geht es mehr darum, das erforderliche Mindestpasswort zu erhöhen d Länge, aber es sollte regelmäßig durchgeführt werden und kurze Passwörter sollten geändert werden.

2) Einhaltung der ISO / IEC 27001/27002-Standards

Von ISO / IEC 27002: 2013, Abschnitt 9.4.3:

Ein Kennwortverwaltungssystem sollte:

...

e) regelmäßige Kennwortänderungen erzwingen und nach Bedarf;

3) Einhaltung des PCI DSS-Standards

Ab PCI DSS v3, Abschnitt 8.2.4:

8.2.4 Ändern Sie Benutzerkennwörter / Passphrasen mindestens alle 90 Tage.

8.2.4.a Überprüfen Sie anhand eines Beispiels für Systemkomponenten die Systemkonfigurationseinstellungen, um sicherzustellen, dass die Benutzerkennwortparameter so eingestellt sind, dass Benutzer die Kennwörter mindestens alle 90 Tage ändern müssen.

8.2.4.b Zusätzliches Testverfahren für Dienstanbieter: Überprüfen Sie die internen Prozesse und die Kunden- / Benutzerdokumentation, um Folgendes zu überprüfen:

• Nicht-Consumer-Benutzerkennwörter muss sich regelmäßig ändern; und

• Benutzer, die keine Verbraucher sind, erhalten eine Anleitung, wann und unter welchen Umständen sich Kennwörter ändern müssen.

Kennwörter / Phrasen, die lange gültig sind Zeit ohne Änderung geben böswilligen Personen mehr Zeit, um daran zu arbeiten, das Passwort / die Phrase zu brechen.

Eine strikte wörtliche Lesart der Frage führt zu der Antwort: Sie erhöht die Sicherheit auf negative Weise: entweder durch Haftnotizen oder durch Verwendung zunehmender Zahlen oder Schichtnummern.

Dies kann das Risiko verringern von rechtlichen Fragen aus der Einhaltung jedoch.

Viele Antworten weisen bereits darauf hin, dass es nicht sinnvoll ist, Benutzer häufig zum Ändern ihrer Kennwörter zu zwingen. Ich möchte die Meinung von Bruce Schneier hinzufügen, dem wahrscheinlich berühmtesten Sicherheitsexperten.

Grundsätzlich sagt er, dass es davon abhängt, was dieses Passwort schützt und wie ein gestohlenes Passwort kann verwendet werden. Das klingt offensichtlich, aber es ist überhaupt nicht offensichtlich, dass es zwischen dem Passwort für Facebook und dem für Ihr Online-Banking besser ist, das erstere zu ändern. Das ist richtig: Es ist sinnvoller, Ihr Facebook-Passwort zu ändern, als das Passwort Ihrer Bank. Mal sehen, warum.

Regelmäßiges Ändern Ihres Passworts hilft, falls jemand es gefunden hat und Sie es sind immer noch nicht bewusst, weil der Angreifer es vorzieht, heimlich zu sein. Abhängig von dem Konto, gegen das sie verstoßen haben, kann dies sinnvoll sein oder auch nicht.

• In vielen Fällen unternimmt der Angreifer etwas, wenn er Ihr Kennwort entdeckt Das werden Sie sicherlich bemerken. Wenn er beispielsweise auf Ihr Bankkonto zugreifen kann, überweist er Geld daraus. Zitat von Bruce: "In diesem Fall ist es nicht sehr sinnvoll, Ihr Passwort regelmäßig zu ändern - aber es ist wichtig, es sofort nach dem Auftreten des Betrugs zu ändern." Die Idee ist, dass wenn niemand Geld von Ihrem Konto stiehlt, dies höchstwahrscheinlich bedeutet, dass niemand Ihr Passwort gefunden hat (warum sollten sie sonst warten?), Also gibt es keinen Grund, es zu ändern.

• Stattdessen könnte jemand, der Ihr Facebook-Passwort stiehlt, es verwenden, um Sie auszuspionieren. Zum Beispiel könnte Ihre Frau damit prüfen, ob Sie einen Liebhaber haben. In diesem Fall werden Sie den Angriffsangriff nicht bemerken , da der Angreifer weiterhin in der Lage sein möchte, Sie auszuspionieren, damit er keine neuen Nachrichten oder etwas auffällt, das auffällt. Hier würde eine regelmäßige Änderung Ihres Passworts verhindern, dass sie fortfährt.

Angesichts der verschiedenen Angriffsszenarien ist das Ändern Ihres Facebook-Passworts nützlicher als das Ändern des Passworts Ihrer Bank. Es ist ziemlich kontraintuitiv, aber es macht Sinn.

Verlorene, verlegte oder gestohlene Hardware kann auch ein Angriffsvektor sein, der den Zugriff auf bestenfalls verschleierte Passwörter ermöglicht.

Angreifer können ein Smartphone stehlen und Passwörter für WiFi wiederherstellen - in den meisten Fällen das allgemeine Benutzerkonto.

Ich persönlich halte es nicht für eine gute Idee, das Ablaufen von Kennwörtern für Bürobenutzer (oder Personen, die mit der Computernutzung kaum vertraut sind, geschweige denn für die Cybersicherheit) zu erzwingen, wie dies in vielen Organisationen der Fall ist. Wie oben erwähnt, besteht die größte Sicherheitslücke in diesem Fall darin, dass dieselben Bürobenutzer ihre Passwörter einfach auf Haftnotizen schreiben und sie auf ihren Bildschirmen einfügen oder in ihre Schreibtische stecken. Wenn die Person etwas "fortgeschrittener" ist, verwendet sie möglicherweise Kennwörter wie letmeinMONTHYEAR .

Ein regelmäßiger Ablauf des Kennworts ist jedoch eine gute Sache, sobald es mit dem gekoppelt ist ordnungsgemäße Passwortverwaltung. Offensichtlich können sich die meisten (nicht versierten) Personen keine wirklich sicheren Passwörter merken - so etwas wie v ^ i77u * UNoMTYPGAm $ . Was sollen wir also tun?

Ich persönlich verwende einen Passwort-Manager, der alle meine Passwörter bis auf eines, das Hauptkennwort, verfolgt. Dies vereinfacht die Dinge wirklich und macht sie viel sicherer (vorausgesetzt, mein Hauptkennwort ist selbst sicher und ich kann es leicht wiedergeben, um mich beim Kennwortmanager anzumelden.) Es gibt mehrere kommerzielle Kennwortmanager, die Sie entdecken und testen können euch. Ich persönlich benutze Lastpass, der für den allgemeinen Gebrauch kostenlos und sicher ist. Es ist über den Webbrowser verfügbar und kann auch als App auf Ihrem Smartphone oder Tablet installiert werden. In Bezug auf Sicherheitsbedenken, dass eine Drittanbieterlösung alle Ihre Passwörter verwalten kann, verlasse ich mich auf die Überprüfung durch Steve Gibson. Sie können die Vollversion davon hier ansehen.

Wenn Ihre Benutzer Menschen sind, erhöht dies nicht unbedingt die Sicherheit.
Siehe FTC-Beitrag " Zeit, um obligatorische Kennwortänderungen zu überdenken" von Chief Technologist Lorrie Cranor, basierend auf Untersuchungen darüber, wie Menschen diese Systeme tatsächlich nutzen. (Berichterstattung der Washington Post hier.)

Wie im SANS-Sicherheitsblog erläutert, lautet "Eine der wichtigsten Richtlinien für Verhaltensänderungen ist [to ] konzentrieren sich auf die wenigsten Verhaltensweisen, die das größte Risiko angehen. " Die Kosten für das Erfordernis der Kennwortänderungen werden besser dafür aufgewendet, den Benutzern die Verwendung sicherer, eindeutiger Kennwörter und / oder Kennwortmanager / Multifaktorauthentifizierung beizubringen. Darüber hinaus sind die Vorteile von Kennwortänderungen jetzt geringer geworden, da Angriffe viel schneller ausgeführt werden können und oftmals als die langen, langsamen manuellen Angriffe, die durch Kennwortänderungen verhindert werden könnten.

Ich würde eher zustimmen, dass dies in erster Linie eine Compliance-gesteuerte Anforderung mit bestenfalls einer geringfügigen Nettoerhöhung der Sicherheit ist (leider mit erheblichen Kosten für den Verlust der Betriebsverfügbarkeit, da ansonsten legitime Benutzer nach 90 gesperrt werden Tage, an denen die Kommunikation von Maschine zu Maschine fehlschlägt, weil ihre Kennwörter abgelaufen sind und niemand sie aktualisiert hat, ruft der Helpdesk auf, um Probleme beim Zurücksetzen von Kennwörtern zu lösen usw.

Allerdings gibt es triftige Gründe dafür Durchsetzung einer solchen Richtlinie (obwohl - diese Rechtfertigungen durch die relativ lange Gültigkeitsdauer eines bestimmten Passworts erheblich verkürzt werden ... Wenn ein Cyber-Gauner Ihr Passwort 90 Tage lang erhält, kann er oder sie eine Menge Schaden anrichten kann).

Der größte Vorteil ergibt sich aus dem folgenden Szenario:

1. Sie werden gehackt oder auf andere Weise kompromittiert, und der Cyber-Gauner findet Ihren Benutzernamen und heraus Passwort.

2. Es befindet sich in der Nähe des Zeitbereichs "Änderungsschwelle" d (normalerweise - Ende des Quartals, und glauben Sie nicht, dass Cyber-Gauner das nicht wissen).

3. Sie müssen Ihr "altes" Passwort ändern (was sowohl Sie als auch der Cyber-Gauner wissen).

4. Sie befolgen die Unternehmensrichtlinien und ändern Ihr Passwort. Dies bedeutet, dass der Cyber-Gauner jetzt wieder gesperrt ist. Er oder sie kann versuchen, die gleichen Methoden wie zuvor zu verwenden, um auch unbefugten Zugriff auf diesen Berechtigungsnachweis zu erhalten. Dies kann jedoch ärgerlich und zeitaufwändig sein.

ol>

Der Punkt hier ist, "das Passwort in etwas Neues zu ändern", ist etwas, was ein Cyberkrimineller normalerweise nicht tun wird, weil aus seiner Sicht (es sei denn natürlich, der Passwort-Hijack ist wirklich eine Art Ablehnung -of-Service-Angriff), das Ändern des Passworts und das Sperren des legitimen (ursprünglichen) Besitzers aus dem Konto, macht den legitimen Benutzer sofort darauf aufmerksam, dass etwas Unangenehmes passiert.

Dies kommt zu der Tatsache hinzu, dass Cyberkriminelle normalerweise Tausende von Passwörtern gleichzeitig entführen. Das Ändern all dieser Elemente kann eine mühsame Aufgabe sein, insbesondere weil sie möglicherweise keinen Zugriff auf die Back-End-Systeme haben, die so eingerichtet sind, dass legitime Benutzer dies tun können dass Cyber-Gauner normalerweise ihr eigenes, privilegiertes Konto einrichten, sobald sie unbefugten Zugriff auf Ihr System erhalten, oder die anderen potenziellen Schwachstellen im Paradigma der "obligatorischen 90-Tage-Kennwortänderung" ignorieren sollen, das diese vorherrscht Tage. Stellen Sie sich diese Regel als ein (untergeordnetes) Element in Ihrer mehrschichtigen Verteidigungsstrategie vor, und Sie werden sehen, dass sie einen Platz hat ... aber es ist sicherlich nichts, worauf Sie sich verlassen sollten, um die Bösen fernzuhalten. P. >

Wenn relativ sichere Passwörter verwendet werden, ist dies nicht der Fall. Kennwörter müssen möglicherweise regelmäßig geändert werden, wenn sie möglicherweise offline geknackt werden können, wenn es einem Angreifer gelungen ist, Hashes aus der Datenbank zu extrahieren. Das Erzwingen von Kennwortänderungen scheint jedoch eine schwache Form der Sicherheit zu sein, wenn Benutzer aufgefordert werden sollten, sichere Kennwörter auszuwählen, beispielsweise basierend auf langen Passphrasen.

Ohne Kenntnisse über die Kennwortsicherheit wählen die meisten Benutzer keine sicheren Kennwörter Das 90-Tage-Änderungslimit dient zum Schutz dieser Konten. Da diese Benutzer die Sicherheit ihres Kontos nicht verstehen oder sich nicht darum kümmern, wählen sie wahrscheinlich ein anderes schwaches Passwort, das möglicherweise auf ihrem alten basiert (was bedeutet, dass ein Angreifer das alte knacken und dann Variationen davon bei einem Online-Angriff verwenden kann). . Die Verwendung der 90-Tage-Richtlinie in Kombination mit der Überprüfung der Ähnlichkeit des neuen Passworts mit dem alten kann als hilfreich angesehen werden. Die Passwörter anderer Benutzer sind schwieriger zu knacken, obwohl dies durchaus möglich ist, wenn ein Angreifer genügend Zeit zur Verfügung stellt. Jedes Passwort mit einer Entropiestärke von weniger als 128 Bit bedeutet, dass es möglicherweise irgendwann geknackt wird, es sei denn, es sei denn Ein Angreifer ist speziell an einem bestimmten Konto interessiert. Dies hat eine sehr geringe Wahrscheinlichkeit.

Ein möglicherweise guter Grund für das Ändern von Kennwörtern besteht darin, dass Benutzer Kennwörter häufig an unsicheren Orten speichern. Beispielsweise hat die Funktion zur automatischen Vervollständigung des Browsers möglicherweise das Kennwort auf dem Computer eines Freundes gespeichert. Dies ist jedoch weder hier noch dort.

Aus diesem Grund wird es als bewährte Methode angesehen, sie von Zeit zu Zeit zu ändern. Die 90 Tage sorgen für den kleinsten gemeinsamen Nenner. Benutzer, die sichere Kennwörter verwenden, die mit einem Kennwortgenerator generiert wurden, haben nur minimalen Aufwand, um ihre zu ändern, sodass diese Richtlinie keine wesentlichen Probleme verursachen sollte. Ich kann verstehen, dass Benutzer mit vielen Konten mit dieser Richtlinie verärgert sind.

Ein weiterer Grund für die häufige Änderung Ihres Passworts ist, dass Passwortspeicheralgorithmen wie bcrypt und andere Funktionen zur Schlüsselableitung eine Iterationszahl haben, die erhöht werden kann, um den Arbeitsfaktor als Moore zu erhöhen Gesetz greift. Durch Eingabe eines neuen Kennworts kann der Kennwort-Hash mit mehr Iterationen erneut gespeichert oder der gesamte Hashing-Algorithmus aktualisiert werden, wenn sich die Sicherheitslage des Systems erhöht. Wenn auf der Site beispielsweise ursprünglich Klartextkennwörter gespeichert, dann auf SHA-1, dann auf SHA-1 mit Salt migriert und schließlich verschlüsselt wurden, wird das Ändern des Kennworts häufig als Gelegenheit zum Aktualisieren des gespeicherten Formats für diesen Benutzer verwendet innerhalb der Datenbank.

Beachten Sie, dass eine Kennwortänderung technisch nicht erforderlich ist, nur dass viele Systeme das Kennwort zu diesem Zeitpunkt in den Speicher umschreiben. Sie können dies jedoch auch bei erfolgreicher Anmeldung tun, da das Klartextkennwort dies tut auch an dieser Stelle verfügbar sein. Das Erzwingen einer Kennwortänderung hilft in diesen Fällen und hat auch den Vorteil, dass bei unentdeckten Sicherheitslücken durch Kennwortlecks auf der Site (z. B. SQL-Injection) das Kennwort in etwas Sichereres geändert wurde und das Hashing-Format vorliegt Aktualisiert. Beachten Sie, dass das Erzwingen einer Kennwortänderung nicht dazu beiträgt, inaktive Konten zu aktualisieren. Aus diesem Grund schreiben einige Standards vor, dass inaktive Konten nach einer bestimmten Zeit deaktiviert werden (z. B. PCI nach 90 Tagen) - wenn das Kennwort auch in einem bestimmten Format in der Datenbank gespeichert ist Es wird auch empfohlen, dies auszublenden, falls der Benutzer es an anderer Stelle wiederverwendet hat und es später durchgesickert ist.