サプライヤーから6か月ごとにパスワードの変更を強制されることを通知するメールを受け取ったばかりなので、ユーザーが使用するパスワード有効期限ポリシーとその使用理由を知りたいと思います。
回答:
ここには、決して変更しないことと頻繁に変更することの間に良い境界線があります。同じパスワードを何年も保持することは、特に公開されている場合は特に、良い解決策ではありません。しかし、あまり頻繁に変更するという厳格なポリシーを強制すると、悪い副作用もあります。私が働いていたある場所では、内部ネットワーク上のすべてのユーザーが6週間ごとにパスワードを変更することを余儀なくされ、passowrdは以前の6つのパスワードと同じにすることはできませんでした。3つの誤ったパスワードがワークステーションをロックし、ITスタッフがロックを解除する必要がありました。その結果、誰もがPost-Itメモにパスワードを書いて画面にぶら下がったり、引き出しに入れたりすることになりました。悪夢。
6か月ごとにパスワードを変更するだけで十分だと思います。これにより、恐ろしいPost-Itノートが回避されます。
パスワードの最小の複雑さ、攻撃者がパスワードを推測する速さ、ロック解除されたアカウントの数、リスクに関する情報に基づいて、少し計算することをお勧めします。
パスワードの推測に何らかのレート制限があることを願っています。通常、それはいくつかの不正なパスワードの後にアカウントを一時的にロックするようなものを経由します。
また、「A」と「パスワード」が許可されないように、何らかのパスワードの複雑さの要件があることを願っています。
10分間で30回パスワードが失敗した後、20分間アカウントをロックするとします。これにより、パスワードの推測率が事実上1時間あたり174、1日あたり4176に制限されます。しかし、それがユーザーごとだと仮定しましょう。
大文字、小文字、数字を含む8文字以上のパスワードが必要であり、それらのパスワードが適度にランダムであることを確認するために辞書チェックを行うと仮定しましょう。最悪の場合、すべてのユーザーが1つの数字と1つの数字を同じ場所に配置し、攻撃者がそれを知っているため、10 * 26 ^ 7(80G)のパスワードがあります。ベストケースは62 ^ 8(218T)です。
そのため、考えられるすべてのパスワードを試みる攻撃者は、最悪の場合は50,000年以内に、最高の場合はほぼ6億年以内にすべてのパスワードを攻撃します。または、別の言い方をすれば、1年を考えると、50,000に1から52,000,000,000に1の推測があります。50,000人のユーザーベースを持っている場合、最悪の場合、年に1つのアカウントにアクセスし、6か月ごとに1つのアカウントを取得する可能性が約50%になることがほぼ保証されています。
また、レート制限がなく、攻撃者が1日あたり10億個のパスワードを推測できる場合はどうでしょうか?1年で600人に1人の割合でアカウントに参加するか、毎年50,000人のユーザーのうち約80人を獲得するという事実上の保証。
その数学に取り組み、許容可能なリスクレベルがどこにあるかを把握します。また、短く設定するほど、ユーザーが覚えるのが難しくなり、オンサイトの攻撃者にとって便利な場所に書き留められる可能性が高くなることを忘れないでください。
追加のボーナスとして、誰かがシステムに対してユーザーごとに1日あたり数千のパスワードを試行している場合は、それを検出する何らかの監視が必要です。
編集: 言及するのを忘れた:私たちの実際のポリシーは90日ですが、それは見当違いのセキュリティ監査人による発見と関係があり、現実とは何の関係もありません。
ほとんどのシナリオでは90日で十分と思われます。私の最大の懸念は、パスワードの複雑さです。ポストイットノートの生成における時間枠の問題以上に、強制的な複雑さです。辞書の単語を避けたり、特殊文字を使用したりすることは避けなければなりませんが、文字を繰り返したり昇順/降順にすることはできないと言うと、ユーザーの生活が難しくなります。それを短いパスワード寿命に追加すると、さらに多くの問題を歓迎します。
パスワードの有効期限は面倒であり、セキュリティが低下します。
パスワードの有効期限は、攻撃者がユーザーのパスワードを既に一度侵害したが、それが継続的に何であるかを見つけるメカニズムを持たない状況(キーロガーなど)を防ぎます
ただし、パスワードを覚えるのが難しくなり、ユーザーがパスワードを書き留めてしまう可能性が高くなります。
既に妥協したパスワードに対する防御は本当に必要ではないので(希望する)、パスワードの有効期限は無用だと思います。
ユーザーに最初から強力なパスワードを選択させる。覚えておくように促し、それを変更するよう要求しないでください。そうしないと、どこにでも書き留めてしまいます。
「高から超」のセキュリティ保証が必要なデバイスがある場合は、パスワードの有効期限に頼るのではなく、ワンタイムパスワードを生成するハードウェアトークンを使用することをお勧めします。
パスワード有効期限システムの主な「勝ち」は、アカウント所有者が組織を離れると、最終的にアカウントを無効にすることです。これは、「アカウント所有者が葉"。
パスワードの有効期限を強制すると、せいぜい書き留められた高品質のパスワードになり、最悪の場合は悪いパスワードになります(以前の職場では、パスワードの有効期限を使用することを余儀なくされた後、prefixJan2003、prefixFeb2003などを使用することになりました) on、パスワードを生成する私の好みの方法(ランダムな48ビット、Base64エンコード)が「毎月の新しいパスワード」に対応していません)。
10人のセキュリティ専門家にこの質問をすると、10種類の回答が得られると思います。
これは、パスワードが保護する資産の重要度に大きく依存します。
安全性の高い資産がある場合、外部の侵入者がパスワードをブルートフォースする時間がないように、パスワードの有効期限ポリシーを十分に短く設定する必要があります。この状況での別の変数は、パスワードにどのレベルの複雑さが必要かです。
低から中程度のセキュリティシステムの場合、6か月の有効期限ポリシーは非常に公平だと思います。
高レベルのセキュリティの場合、1か月はより良いと思います。また、「非常に」安全なインストールでは、さらに短い期間が予想されます。
私たちはここにいる全員(自分自身を含む)に90日間のパスワードの有効期限を強制します。
主に、それが単にベストプラクティスであるためです。「弱い」パスワードを使用している人と、より強力なパスワードを使用している可能性の方が大きく、同じパスワードを長く使用するほど、セキュリティ違反が長期にわたって検出されない可能性があります。
パスワードは毎年失効し、10文字を超える強力な(できればランダムな)パスワードが必要です。ユーザーがパスワードを変更すると、そのパスワードに対して辞書攻撃が行われます。パスワードを再利用できないように、過去のパスワードハッシュを保持しています。vatineが言ったように、パスワードの潜在的な日付もチェックします。;)最後は私の追加でした...
以前の仕事では、新しいネットワークセキュリティ管理者の要求で、2か月ごとに期限切れをより頻繁に試みました。最初の強制変更の2週間後、私は彼を私たちの管理事務所に案内し、人々のキーボードとマウスパッドの下を見ました。それらの50%以上は、その下のポストイットにパスワードが書かれていました。私たちが座って管理スタッフと話した後、彼はポリシーを緩めて喜んでいた-彼らの意見は、彼らが記憶するのに十分な長さを持っていなかったということでした。
最近のほとんどのものは、いくつかのサイロ内でのシングルサインオンです。キャンパスリソース(ほとんどの人に使用されることはほとんどありません)は1つのサイロにあり、そのパスワードは中央のITグループによって管理されています。部門のリソース(毎日使用-マシンログイン、電子メール、ウェブサイト編集、コピー機)は、当社グループが管理するパスワードで、毎年有効期限が切れています。人々がイライラすることに不満を抱いている場合、覚えておくべきパスワードは本当に1つしかないことを指摘します。
最近では、/ var / logのランダムファイルでmd5sumを生成し、そのサブセットをパスワードに使用しています。
パスワード有効期限ポリシーを開始した数年前に、これについて多くの議論がありました。ADツリーに対してレインボーテーブルを使用してl0phcractを実行し終えたところ、それがどれほど悪いかを確認しました。目を見張るほどの数のユーザーが、パスワードリセットのために電話をかけた後、「ヘルプデスクtemp」パスワードを使用しました。 。これにより、経営者はこれを実現する必要があると確信しました。
高学歴であるため、間隔を選択する際に取り組むべき夏がありました。多くの教員は夏の間は教えないため、ヘルプデスクは9月に戻ってくる「パスワードを忘れました」という電話に対応する必要がありました。私は、間違っているかもしれませんが、私たちの間隔は夏季四半期を除いて6か月だと思います。したがって、6か月のパスワードの有効期限が8月中旬に切れる場合、9月下旬から10月上旬にリセットされるようにランダムに再プログラムされます。
より良い質問は、ユーティリティアカウントと管理者のパスワードがローテーションされる頻度です。パスワード変更ポリシーが免除されているようです。ユーティリティアカウントのパスワードを変更するために、これらすべてのスクリプトを実行したいのは誰ですか?また、一部のバックアップシステムでは、使用済みパスワードの変更が困難であるため、管理者パスワードを変更する意欲が失われます。
パスワードを頻繁に期限切れにすることの大きな問題の1つは、人々がパスワードを覚えるのに苦労することです。そのため、弱いパスワードまたは類似のパスワードを使用している人がいるか、ポリシーでこれが許可されていない場合、パスワードを書き留めて覚えやすくします。また、他の人が忘れてしまったときに、より多くのパスワード変更要求があります。
個人的には、パスワードの用途によって異なりますが、完全な使い捨てアカウントでない限り、3か月以上パスワードを保持しない傾向があります。よりリスクの高いものについては、毎月かそこらが良いことであり、それを知っている誰かが去った場合には反抗的にそれを変更します。私は小さなコンピューターサポートビジネスで働いているため、多くの人が共有する複数のパスワードを持っているので、混乱を引き起こす可能性があるため、あまり頻繁に変更したくないです。
これまでの興味深いコメント。もちろん、パスワードを記憶することは、会社の技術的な問題と非技術的な人事の問題であるという議論が常にあるのはなぜですか?コンピューターのハードウェア/ソフトウェアに関する誰かの能力は、セキュリティを真剣に考える能力と何の関係がありますか?非技術者はクレジットカードまたはデビットピンを配りますか?また、デスクのポストイットノートにパスワードを配置する人は、解雇の理由になります。実際にセキュリティを実現したときに人々の記憶がどのように改善されるかは驚くべきことであり、真剣に考えなければなりません。職場での服装規定と行動方針の役割に違いはないと思います。ルールに従うか、さようなら!
パスワードを頻繁に変更するよりも安全なパスワードを使用する方がはるかに重要だと思いますが、安全なシステムには両方のパスワードが必要です。
複雑なパスワードは覚えるのが難しく、従業員がそれらを書き留めてしまうという議論があります。これに対する私の信念は、攻撃の大部分は外部からのものであり、複雑なパスワードを書き留めてモニターに記録することでさえ、単純なパスワードを記憶させるよりも安全です。