管理者/ルートパスワードをどのくらいの頻度で変更しますか？

ドメインの管理者パスワードをめったに変更しないという悪い習慣があります。私が使用するパスワードはかなり優れていますが、これについては一貫性を保ちたいです。

良い周波数は何だと思いますか？たぶん6ヶ月ごと？

簡単に計算してみましょう（そして、しばらくの間ベストプラクティスを忘れてください）：

攻撃者がシステムをハッキングするのに6か月の時間枠があると想定します。また、パスワードはサイズ62の文字セットからランダムに選択されると仮定します。

シナリオ1： 6か月間、9文字のパスワードを使用します。

シナリオ2：最初の3か月には9文字のパスワードを使用し、残りの3か月には別の9文字のパスワードを使用します。

シナリオ3： 6か月全体で10文字のパスワードを使用します。

ではシナリオ1、彼はその時では62 ^ 9の試みを行うことができれば、ブルートフォース攻撃者は、100％確実に自分のアカウントをハッキング。

ではシナリオ2、彼は半分の時間（3ヶ月）中のみ（62 ^ 9）/ 2 attempsを行うことができれば、彼は、50％の確実性を持つアカウントをハックます。後半に、彼は50％の確実性でもう一度チャンスを得るでしょう。統計的には、彼は75％の確実性でアカウントをハッキングします。

でシナリオ3、彼は全体の6ヶ月間の62 ^ 9の試みを持っています。しかし、62 ^ 10の可能性があります。したがって、彼は1/62の確実性でのみアカウントをハッキングします。これは約1.6％です。

したがって、他のすべての要因（盗まれたパスワードやその他の種類の攻撃など）を除外する場合、頻繁に変更される場合でも、短い（または単純な）パスワードを使用するよりも長いパスワードを選択することをお勧めします。特に、シナリオ3では10文字しか覚えていないため、シナリオ2では18文字です。

私たちはほとんどがWindowsであり、各管理者は独自のドメイン管理者アカウントを持ち、強力なパスワードを持ち、時々変更することを互いに信頼しています。ピアプレッシャーを使用してパスワードが長く、数字や文字が含まれていることを確認するため、誰もが強力なパスワードを持っていると確信していますが、十分な頻度で変更することはありません。

追加：今では、ほとんどの人がおそらくこれを聞いたことがありますが、念のためです。暗号化とセキュリティの専門家であるブルース・シュナイアーは、強力なパスワードを用意して書き留めるべきだと言います。

理論的には頻繁にパスワードを変更する方がはるかに優れていますが、有効期間が短くなるにつれて、「ポストイットファクターに記録」は指数関数的に増加します。

これが個人使用のみの場合、公開鍵認証を使用して、鍵リングに適切なPWのみを使用してください。

実際にドメインの管理者アカウント（SID：S-1-5-21domain-500）について話しているのですか、それとも自分が作成した管理者アカウントについて話しているので、誰が何をしたかについての有用なログを取得できますか？

通常、管理者アカウントを長い（20文字以上のパスワード）に設定し、パスワードを安全な場所に保存し、そのアカウントを使用しないようにします。私は通常、毎年かそこらでそのパスワードを変更するだけです。ネットワークにはロックアウトシステムもあり、これにより、リモートブルートフォース攻撃が非常に効果的になるのを防ぐことができます。私は日常のタスクにパスワードを使用しないため、パスワードが傍受される可能性はほとんどありません。

私が管理者権限を付与した私の個人アカウントについて話している場合は、約6か月ごとに変更する傾向があります。また、パスワードがどこにも送信されないように、可能な限りキーベースの認証を使用する傾向があります。また、私は一般に、ほとんどの人がハイリスクシステムだと考えるものとは連携しません。

どんなに複雑なパスワードを設定しても。30日から42日ごとにパスワードを変更することをお勧めします。6か月はパスワードが古すぎます。安全性と安全性を保つために、常に適切なパスワードポリシーを実装する必要があります:-)

私は通常、スタッフが去った後にのみルートパスワードをリセットします...しかし、sudoアクセスを持つユーザーに90日ごとにパスワードを変更することを勧めます。