ユーザーにn日/週/月ごとにパスワードの変更を強制する必要がありますか？

質問はそれをすべて言います。セキュリティが非常に重要なシステムを設計しています。誰かが持っていたアイデアの1つは、3か月ごとにユーザーにパスワードの変更を強制することでした。これについての私の考えは、パスワードが頻繁に変更されるため、より安全であると同時に、ユーザーは常に変更されたパスワードを記憶することを強制し、覚えやすい場所にそれを書き留めてしまう可能性が高くなるということです。

同じ考えで、推測しにくいパスワードをユーザーに使用させることは本当に良いことです。強制的に？％＆％と大文字の小文字を使用します。そのようなパスワードを発明し、それを覚えるのは非常に面倒です。

この場合も、12345を使用している人はいません。

そう。このテーマに関するホワイトペーパーはありますか？いい練習？

PHPで作成されたWebサイトについて話しています。ランプ環境でMySQLが変更された場合

私はこれについては少数派かもしれません（学校や職場でIT部門を扱った私の限られた経験に基づいています）が、必須の時間ベースのパスワード変更ポリシーは、せいぜい価値がなく、最悪の場合は有害だと思います。人々は、良いパスワードを選択し、それらを秘密にしておくことに非常に悪い傾向があります。パスワード有効期限ポリシーは、1つのパスワードがクラック/ソーシャルエンジニアリング/盗難される可能性のある時間を制限することにより、これを緩和するように設計されています。ただし、主にユーザーに継続的にパスワードを再学習させるため、実際にはこれを達成できません。ユーザーがパスワードをメモリにコミットするのを難しくすることで、多くのユーザーに弱いパスワードを選択させたり、/索好きな目で見つけられる場所にパスワードを書き留めたりすることになります。

さらに、定期的にパスワードの変更を強制されると、多くのユーザーは、などの非常に認識可能なパターンに従うパスワードを選択します[base string][digit]。ユーザーがパスワードとして猫の名前Fluffyを使用したいとします。のパスワードで開始しfluffy、次に、などに変更するfluffy1場合fluffy2がfluffy3あります。この場合、ポリシーは実際にはセキュリティに役立ちません。ユーザーがより安全なベース文字列を選択したfluffy場合でも、パスワードを安全に記憶しておいても、数か月ごとに変わる単一のサフィックス文字はクラッキングやソーシャルエンジニアリング攻撃を軽減するのにほとんど役立ちません。

参照：パスワードの有効期限は有害とみなされます。短い記事（私は書いていません）で、これらの問題の入門として役立つと思います。

私の大規模な組織（15000人以上のユーザー）は、2009年の秋に120日ごとに「パスワードの変更」を実施しました。これはITの大きな頭痛とサポートリソースの浪費です。120日間の期間が経過するたびに、パスワードを変更せざるを得ない数千人のユーザーがいます。多くのユーザーは、誤ってアカウントをロックしたり、翌日を忘れたりします。できる限りセルフサービスを利用しようとしても、ヘルプデスクはパスワードの呼び出しであふれています。

ユーザー/顧客があなたを憎むようにしたい場合...そしてあなたの最前線のITスタッフは、彼らが得るあらゆる機会にあなたを燃やすために...パスワードの変更を実装します。

パスワード変更ポリシーは、一部のITマネージャーハウツーのどこかで予約するチェックボックスであり、15年前に作成されました。実際にポリシーを実装またはサポートしているトレンチの誰も、それが良いアイデアだとあなたに言うことはありません。

ここでは、パスワードの代わりに「パスフレーズ」について議論しました。:)

パスフレーズは、「MyCatIsFromSpainAndICallHimElGato」のように覚えやすい非常に長い長い推測不可能な文字列です。または、詩や歌からの行かもしれません。

クラッキングを本当に難しくしたい場合は、...ケースをいじり、句読点を追加し、いくつかをエルに、ああをゼロに、aを@に、など...しかし覚えておいてください...それが鍵です。指からキーボードに簡単に流れるようにそれらを選択する方法もあります。そのため、手の間やSHIFTや奇妙な句読点でバウンドしません。

そう...

• 長い「パスフレーズ」を使用します。
• 内部で強度をテストします。
• インフラストラクチャ全体に「シングルサインオン」を実装して、顧客が1日に1〜2回使用するだけで済むようにします。
• 強制的に変更させないでください。
• そして、適切な使用法を教育し、教育し、教育します。

マット

編集：2011年 8 月24 日XKCDは同意し、私よりも良いと言った。

いいえ。私の個人的な意見は、それは不必要であり、逆効果でさえあるということです。私は私のブログで暴言しましたが、興味があればそれを追い詰めることができます。

つまり、次の2つの理由になります。

1.ユーザーにパスワードを絶えず変更するように強制すると、パスワードが不正になります。

これに関する逸話的な証拠が不足することはありませんが、x日ごとに新しいものを思い出すことを余儀なくされた場合、私はそれらを覚えやすくし、おそらく相互に関連付けます。

ユーザーは、すぐに変更する必要があることがわかっている場合、「Jan2010」や「Password05」などの「推測可能な」パスワードを選択する可能性がはるかに高くなります。文字に厳格なポリシーを適用すると、省略形ではなく、感嘆符や完全な綴りの名前が追加されるだけです。技術的に複雑なパスワードと推測されないパスワードには大きな違いがあります。

2.定期的なパスワード変更を強制しても攻撃を防ぐことはできず、リスクを軽減するだけです（それほどではありません）

考えてみてください。パスワードが何らかの方法で推測または発見された場合、攻撃者がその情報を使用するのにどれくらい時間がかかりますか？攻撃者の靴に身を置きます。パスワードを発見しました。ログインして、誰かが見つけた場合に備えて、すぐにできる限りの情報を抽出しませんか？30日後には、必要なものはすべて揃っています。

私の推薦：

• 非常に厳しいパスワードポリシーを強制します（大文字、小文字、数字、特殊文字を含む15文字、英語の単語が3文字を超えないなど）
• ユーザーにパスワードを変更させないでください。パスワードを紙に書き留めて財布に入れておく必要がある場合は、実際には問題ありません。人々は紙片を確保するのは得意ですが、ランダムな文字列を覚えるのは得意ではありません。

ユーザーの観点から見ると、パスワードを変更しなければならないのは非常に不便です。私はそうすることを絶対に嫌い、パスワードを変更する必要がある場合に絶対に必要なサイトのみをしぶしぶ使用します。

一部の人々はそれらを覚えるためにパスワードを書き留めなければならないので、これが本当に良い習慣であるかどうかについてのいくつかの議論もありました。

パスワードを入力している間、パスワードがどれだけ強い（または弱い）かを示すウィジェットの1つを実装できます。実際に強力になるのかどうかはわかりませんが、それらは（かなり）役に立つと思いますパスワード。

非常に厳しいパスワードポリシー環境（「パスワードを推測するのは非常に困難」でパスワード変更も同様）のユーザーとしての私の意見は、ハードパスワードのみが必要だということです。ユーザーがそれに慣れるには少し時間がかかりますが（特に12345種類のユーザーの場合）、1週間以内に簡単に呼び出して入力できるはずです。

ただし、このような強力なパスワードを使用し、それらを強制的に変更する場合、不快なエンドユーザーを予測できます。

IT管​​理の観点から、最良のオプションは、顧客が使用している既存の認証スキームのシングルサインオン機能をアプリケーションに使用させる可能性を調査することです。明らかにActive Directoryは大きな役割を果たしますが、アプリケーションがオンサイトITが既に構成しているポリシーで動作する場合、車輪の再発明について心配する必要はありません。

パスワードの変更を強制することは良いアイデアであるかどうかについて多くの議論が巻き起こったので（私はそれがあなたの主な質問の二次的だと思いますが）、ここでいくつかのアイデアとリンクを楽しむかもしれないと思いました。ほとんどの場合、パスワードの複雑さとスケジュールの変更を強制しない場合、パスワードをまったく持たないこともありますが、その実装方法（トレーニング、管理サポートなど）は、私が強調できる以上に重要です。

多くの場合、パスワードを変更すると、ユーザーにパスワードを書き留めてもらうことになります。Bruce Schneier（http://www.schneier.com/blog/archives/2005/06/write_down_your.html）によると、これはそれほど悪い考えではありません。

セキュリティがユーザビリティの邪魔になることは、ユーザーに安全に行動することを思い出させるという理由だけで、いつか良いことになると主張することさえあります。たとえば、私が働いている銀行では、セキュリティ対策の多くはセキュリティシアターです（たとえば、ドアでの顔認識ですが、認識に失敗した場合はセキュリティ担当者がドアを開けます）。これらの手段はそれ自体ではセキュリティを改善しませんが、セキュリティは職場での重要な懸念事項であり、ある程度のロギングとチェックが行われていること、そして何か「安全でない」ことをしている場合トラブルになります。

もちろん、これは銀行の従業員のセキュリティに適用され、あなたのウェブサイトのユーザーには適用されないかもしれません...

セキュリティポリシーで必要な場合は、n日ごとにユーザーに変更を強制する必要があります。私は州の機関で働いていますが、これは州の監査官事務所から強制される要件です。私はそれについて何もできないので、変更を強制する必要があります。

パスワードの変更を強制する規制に拘束されていない場合は、強制しないでください。設定されるパスワードが特定の最小複雑度要件を満たしていることを確認してください。長さは、ほとんどのパスワードシステムの複雑さに勝るので、可変的な標準は、私の意見ではベストケースです。といった：

• パスワードは10文字未満でなければなりません。
• 10〜25文字のパスワードには、少なくとも3文字セットが必要です。
• 25〜40文字のパスワードには、少なくとも2つの文字セットが必要です。
• 40文字を超えるパスワードには、単一の文字セットを使用できます。

Active Directoryなどの組み込みの複雑なスキームは、このような階層型システムをサポートしていません。独自のパスワード変更環境を構築すると、次のようなことができます。シフトキーを使用するたびにファットフィンガーイベントが発生する可能性が高くなるため、複数の文字セットを含む長いパスワードは、特に学習段階でログインに失敗する可能性が非常に高くなります。アカウントロックアウトシステムを使用している場合、これは大きな問題になる可能性があります。お気に入りの詩の3行目（63文字！）をパスフレーズとして使用する人は、h @ x0rを使用する必要がないため、入力が高速かつ効率的になります。

テクノロジーまたはリスク環境が大幅に変化し、パスワードが本来のように複雑ではなくなった場合、一定期間パスワードを期限切れにする方法を導入してください。特に以前に変更を強制したことがない場合、人々はその必要性について不平を言うでしょうが、それはあなたのセキュリティ姿勢を維持するのに役立ちます。

パスワードを推測するのは難しいことです。ユーザーがパスワードを忘れたり書き留めたりする複雑さのレベルを強制することは悪いことです。複雑さによって得られたセキュリティはプロセスで完全に失われるからです。理想的な世界（残念ながら私たちの住んでいる場所ではありません）では、複雑さと使いやすさのバランスをとる必要があります。もちろん、さまざまな人々がさまざまな場所でそのバランスポイントを見るでしょう。

X日間に定期的にパスワードを変更する背後にあるロジックは、私にとって少し失われています。私がこれについてよく耳にする理由は、盗まれたパスワードの有用性を制限することです。実際の損傷は、とにかく最初の数時間以内にほぼ確実に行われると私は答えます。たとえば、FredはMaryのパスワードを「知り合いになります」。Maryがそのパスワードを変更するのとほぼ同時に発生しない限り、明日または来月に変更された場合、どのような違いが生じますか？フレッドがパスワードを使用する前にさらに1週間または2週間待機する可能性は本当にありますか（それが最初から意図されていたと仮定して）。

明らかに必要な理由や疑いがある場合にパスワードを変更することは、まったく別の問題です。

アプリケーションにこのような高レベルのセキュリティが必要な場合、SecurIDトークンなどの使用を検討しましたか？つまり、ユーザーは60秒ごとに新しいパスワードを取得します。パスワードを書き留めて使用することについて心配する必要はありません。ただし、これらにはお金がかかります。ソリューションはどの程度安全である必要がありますか？

ユーザーへの情報は重要だと思います。パスワードの作成方法と、同じパスワードを2回使用しないことの重要性を説明します。パスワードを作成する簡単な方法は、文を取り、すべての単語の最初の文字を取り、数字を追加することです。

例 世界を支配するのが好き= Iltrw99

パスワードを変更するように強制しないでください。混乱させるだけです。

3か月ごとにパスワードを変更することには同意しませんが、これはあなたの会社が上場している場合の要件であり、SOX準拠の一部です。サイドノート：Sarbanes-Oxleyは吸う。

言及されていないことは、リソースへの外部アクセスです。

賢明なパスワードポリシーを選択した場合、誰かがそれを書き留めない限り、誰もそのパスワードを推測する可能性が低いことに同意する傾向があります。

ただし、オフサイトにアクセス可能なウェブメールがあるとします。今では、ユーザーが「任意の古いPC」およびIMOで資格情報を入力する可能性があります。 。

人々が単純なパスワードを書き留める場合、巨大なパスフレーズや非常に複雑なパスワードを書き留めないと思われる理由は何ですか。増分パスワードの変更が行うことは、自動的に使用されなくなったユーザーIDの消去であり、個々のユーザーがこのすべてに対して何らかの責任を持つことができます。人は人になり、何かを成し遂げるための簡単な道を探します。繰り返されるパスワードと段階的に変更されたパスワードは、検出および拒否できます。複雑さの要件を強化することができ、パスワードの変更を強制することで、IT以外のユーザーがこのすべての責任を負うようになります。パスワードの変更について不満を言うユーザーのほとんどは、パスワードを変更することを心臓切開手術のようなふりをする怠zyなユーザーです。泣き言をやめ、責任を持ち、簡単な道を見つけようとするのをやめ、