在我工作的地方,我不得不每90天更改一次密码。据我所知,这种安全措施已在许多组织中实施。是否存在旨在解决此问题的特定安全漏洞或攻击,或者我们只是按照此过程操作,因为“这是一贯的做法”?

好像更改密码只会


此问题是“本周IT安全问题”。
阅读2011年7月15日博客条目以了解更多详细信息,或提交您自己的每周问题。


评论

@Bill,感谢您提出这个好问题!我们喜欢摇摆船并质疑“接受的智慧” ...

当然,这可以确保一半办公室的监视器或键盘下方都带有密码贴纸。

一个更好的问题:如果有必要,那么多少同样的管理员正在轮换他们的服务帐户密码,这些密码通常具有太多的权限?我工作过的大多数地方都将其设置为永不过期。

我讨厌这个规则,并且对此提出了很多反对意见。 blog.damianbrady.com.au/2008/07/02/…有关更多详细信息(在0 rep的注释中)

我说服了IT部门在我的上一份工作中进行权衡。我们放弃了密码过期策略,转而使用更强的密码。每个人都喜欢这个决定,因为他们能够在不将新密码发布到监视器的情况下真正记住他们的新密码。另外,他们的新密码更加安全。

#1 楼

存在密码过期策略的原因是为了缓解攻击者获取您的系统密码哈希并将其破坏时可能发生的问题。这些策略还有助于最大程度地减少与将较旧的备份丢失给攻击者相关的风险。

例如,如果攻击者闯入并获取了您的影子密码文件,则他们可能会开始强行强制攻击。密码,而无需进一步访问系统。一旦他们知道了您的密码,他们便可以访问系统并安装所需的任何后门,除非您在攻击者获取影子密码文件到他们能够暴力破解密码哈希之间恰好更改了密码。如果密码散列算法足够安全,可以阻止攻击者使用90天,那么密码过期将确保攻击者不会从影子密码文件中获得任何其他有价值的信息,只有已获得的用户帐户列表除外。 br />
虽然主管的管理员将保护实际的影子密码文件,但整个组织对于备份尤其是较旧的备份往往比较松懈。当然,理想情况下,当然,每个人对于6个月前备份的磁带和生产数据都应同样小心。但是,实际上,一些较旧的磁带不可避免地会在大型组织中放错位置,放错文件或丢失。密码过期策略可以限制因旧备份丢失而造成的损坏,其原因与减轻实时系统中密码哈希的危害相同。如果丢失了6个月的备份,则说明您正在加密敏感信息,并且自备份以来所有密码都已过期,除了用户帐户列表之外,您可能什么都没有丢失。

评论


问题在于,使用现代EC / GPU设置,可以以非常低廉的速度廉价地破解强密码。将原始的蛮力与千兆字节的单词列表,自定义字符集和您可以查找(免费或非常便宜)的预生成哈希结合起来,而90天是一个非常大的窗口,可用于离线破解密码。

–马辛
2011年6月22日21:02

@Marcin-是的。蛮力哈希攻击变得越来越快,使用不安全哈希算法执行相对较少迭代的较旧系统不太可能维持90天。另一方面,如果您使用SHA-2并进行了数千次迭代,则哈希值应足够强,可以保留90天。

–贾斯汀·凯夫(Justin Cave)
2011年6月22日在21:15

如果您假设备份泄漏,并且攻击者具有对整个文件系统的读取访问权限,则与影子密码相比,ssh私钥文件应该是更大的关注点。

– Ben Voigt
2011年6月23日在8:48

因此,换句话说,它试图防止假想的攻击(如果发生这种情况,则意味着无论如何您都需要解决更大的问题),但会带来许多实际的严重漏洞(需要密码?只选择一个) ,他们到处都贴满了灰泥,哦,他们也把公司丢在垃圾桶里了,你说无效吗?好吧,这个人在2011年第二季度的密码为letmein22011现在...)。 IMNSHO并不是一个很好的折衷方案。

– Piskvor离开了建筑物
2011年6月23日12:00



尽管有能力的管理员将保护实际的影子密码文件,但作为一个整体,组织对于备份尤其是较旧的备份往往比较松懈。 。 。 。这就是主管管理员加密其备份的原因。 (令我难过的是,自发布此答案以来的18个月中,我是第一个发表此评论的人)

–voretaq7
2012-12-19 15:07

#2 楼

我之前曾说过,它并没有任何改善。在该帖子中:


显然,攻击者不知道您的密码是先验的,否则攻击不会是蛮力的;因此猜测
与您的密码无关。您
不知道攻击者拥有什么,
没有,或者下一步将进行测试-您知道的是
攻击者将在足够的时间耗尽所有可能的猜测。因此,
您的密码与
猜测分布无关。

您的密码与攻击者对您的密码进行猜测
独立。即使您先更改了
密码,
攻击者的下一个猜测正确的可能性也相同。密码过期策略
无法缓解
暴力攻击。

那么为什么我们要强制密码
过期策略呢?其实,这是一个很好的问题。假设一个
攻击者确实获得了您的密码。

利用此机会的机会
这种情况取决于密码有效的时间
,对吗?
错误:攻击者获得密码后,就可以安装后门,创建另一个帐户或采取其他步骤,以确保继续访问。
更改密码后的事实
会击败一个不敢正直思考的攻击者,但是
最终应该发起更全面的
响应。因此,密码过期策略会烦扰我们的用户,并且不会帮助任何人。


评论


我同意这一点,但非管理员用户除外。大多数人可能没有创建后门帐户等的权限。获得对系统的访问权限时,我的目标可能不是尝试接管系统,而是获取访问权限并窃取信息。只要有帐户密码,我就可以访问,但是我不想做任何看起来可疑的事情(例如创建帐户)。只要用户不更改密码,我就不必尝试再次破解该帐户。将密码更改为不可预测的内容会给我带来额外的工作。

–kemiller2002
2011年6月22日14:38在

这是完全错误的。我们知道,攻击者可能会有您的密码的哈希值(首先是采用此策略的原因),这实际上给了他足够的时间密码,无论他使用何种方法破解密码。因此,替换密码将使攻击者拥有的信息无效。上面的答案总结了一下。

– Michael Sondergaard
2011年6月22日20:29



大多数用户在密码末尾增加一个数字。我在一家银行工作过,常用的密码是城市名称,后跟当前月份的数字。另外,由于大多数系统天生就不安全,尤其是在Microsoft Windows环境中,用户是否受限制并不重要,而且很可能不受此限制。

–德万
2011年6月22日20:39

@Kevin:Unix系统怎么样。您进入了一个用户帐户,然后编辑.profile,使其包含“ alias passwd = $ HOME / .tmp / passwd”,或者只是将$ HOME / .tmp附加到$ PATH,其中.tmp下的passwd是一个通过shell脚本发送电子邮件的密码到我的一次性Hotmail帐户并运行系统密码命令?不需要提升的特权,但是现在有了一个简单的后门,可以防止帐户受到攻击。

–dannysauer
2011年6月22日22:57

@BenVoigt在更改密码期间,通常会提示您输入旧密码和新密码。因此,您可以同时使用两者,并且可以检查相似性。

–德罗伯特
2012年8月30日在16:44

#3 楼

在回答它是否有帮助之前,先看一下特定的情况。 (在进行安全度量时,通常是个好主意。)

在什么情况下强制更改密码可以减轻影响?

攻击者知道用户的密码但没有后门。他不想被发现,因此他自己也不会更改密码。

让我们看看这种情况是否可能发生:

他怎么会学到密码? br />

受害者可能已经告诉过他(例如,一名新的实习生,他应该在自己设置帐户之前就开始工作,另一个人应该在在线游戏中注册一个帐户
攻击者可能已经看过键盘
攻击者可能已经访问了另一个密码数据库,其中用户使用了相同的密码
一次只能使用攻击者拥有(准备)的计算机登录。
/>
是什么原因阻止了他建立后门程序?
用户的特权可能没有足够的权限来安装后门
攻击者可能会缺少所需的知识(在在线游戏Stendhal中,大多数“骇客”已完成只是想破坏玩具的愤怒的兄弟姐妹)
攻击者可能还没有变成邪恶。 (例如,下个月将被解雇但目前不怀疑任何事情的员工)。

为什么不使用强制密码过期?

它会使用户非常烦恼使他们只在末尾添加一个计数器。这可能会降低密码的熵。根据我的经验,这会产生额外的支持费用,因为人们比平常更容易忘记新密码。我想这是由于更改密码提示导致他们在忙于思考其他事情时措手不及。

总结

它远非万能药,它对可用性有负面影响,但在与上述类似情况的可能性和影响之间取得平衡确实有意义。

评论


瞧,现在您已经完成了,我已经对其他答案进行了投票,但是您的答案更正确,所以我为无法两次投票给您而感到困扰:)。

–AVID♦
2011年6月22日15:25

+1为“攻击者可能已经访问了另一个用户使用相同密码的密码数据库”。这是一个非常现实的危险。如果我可以破解一个不安全的站点并在那里找到您的密码,那么我可以访问您使用相同密码的任何其他系统。杰夫·阿特伍德(Jeff Atwood)甚至曾经在他身上发生过这种情况:codinghorror.com/blog/2009/05/…。强制更改密码可能会降低这种情况的发生率。

–约书亚汽车
2011-12-22 18:38

为什么不使用密码有效期?请参阅现代密码到期的安全性:算法框架和经验分析。底线:它几乎没有增加任何价值,但却给用户带来负担。

–TheGreatContini
2015年6月8日23:41

@JoshuaCarmody-“强制更改密码可能会降低这种情况的发生。”您该如何发表声明?您对此有什么经验证据?杰夫·阿特伍德(Jeff Atwood)存在此问题的事实仅表示他在各处都使用相同的密码。我在线使用各种密码,而且我没有90天的轮换期限,感谢上帝。我确保它们是1.相当复杂,并且2.随站点而不同。通过执行90天的策略,您可以确保1.简单密码2.与可旋转部分共享同一基础。

– Mike S
16年4月26日在17:14

还有什么可以防止这种特定类型的攻击?监视异常登录尝试(例如,未知设备或IP),两因素身份验证,基于行为的更高级监视。因此,即使在这种攻击中,也不需要密码轮换。

–西蒙·伍德赛德
17年4月3日在21:25

#4 楼

Microsoft进行的一项研究得出结论,认为密码过期策略不会增加现实生活中的安全性。

这些文章已删除,但可以在Internet上找到:



请不要更改密码
研究:频繁的密码更改是没有用的

原文:这么长,并且不感谢外部性:
理性用户拒绝安全建议

评论


应该指出的是,研究论文是关于网站密码的。我认为这意味着受害者是用户本人。在合作环境中,公司可能遭受攻击者的侵害,而不是个人用户。

–亨德里克·布鲁默曼
2011年6月25日9:44

此外,“规则6 [经常更改密码]仅在攻击者在使用密码之前等待数周时才有用”是错误的。它忽略了攻击可能持续进行数周而没有引起注意的可能性。想像一下攻击者可以访问高层管理人员的电子邮件帐户。显然,如果攻击者继续阅读潜在的机密电子邮件,而不是滥用垃圾邮件帐户或通过更改密码来锁定所有者,则可能会给攻击者带来更大的好处。

–亨德里克·布鲁默曼
2011年6月25日上午9:49

Kobi是正确的,但还有一个链接是最后一个难题:现代密码到期的安全性:算法框架和实证分析。这表明,一旦攻击者获得了用户的一个密码,他就很可能会获得另一个密码。因此,密码到期策略的负担远远超过其价值。

–TheGreatContini
2015年6月8日在23:34



英国通讯电子安全小组还建议不要使用密码过期政策:cesg.gov.uk/articles/problems-force-regular-password-expiry

– Ajedi32
16年5月12日14:00

#5 楼

我们都有自己的意见,但我们也应该寻求对该问题的实际研究。除了Microsoft的Cormac Herley在Suma的答案中提到的有关网站密码的论文之外,还有ACM CCS 2010的一篇论文:“现代密码到期的安全性:算法框架和实证分析”(pdf),由Fabian的Zhang Yinqian撰写。 Monrose和Michael Reiter。他们分析了一个很好的数据集,并对密码有效期策略的有效性进行了很好的分析。他们的结论?强迫用户每六个月更改一次密码不是很有用:


至少有41%的密码可以在几秒钟内从同一帐户的先前密码中脱机,和五个在线的
密码猜测期望足以破坏17%的帐户。同时要求用户花更多的精力来选择比其他方式要强得多的密码(例如,更长的密码)。 ....

从长远来看,我们认为我们的研究支持以下结论:应该彻底放弃基于密码的简单身份验证。


为帮助用户选择更强的密码,请参阅有关密码复杂性的建议策略-IT安全性

评论


这是在与一些安全审核人员讨论ISO 270001的意义(尤其是密码更改策略)后得到的结果。他们认为频繁的密码更改会强制使用错误的密码。好的密码不必经常更改。

–指甲
2012年5月24日21:15



#6 楼

我听说过的仅有的两个很好的理由:


机会之窗-在在线攻击情况下,说您在10次错误尝试之后将帐户锁定了30分钟(Microsoft建议的设置为高安全性环境)。在没有任何密码到期的情况下,可能有无限的时间窗来尝试字典,暴力破解,常见的密码攻击方法。密码到期限制了这一点。在离线情况下,您没有意识到密码被盗,再次过期的密码会为攻击者提供有限的时间来破解密码,使它们变得无用。当然,正如@ graham-lee指出的那样,您还需要其他控制措施来检测诸如后门合规性之类的东西-几乎每个监管机构和审计人员都将寻找密码有效期。包括PCI-DSS,HIPAA,SOX,Basel II等。正确或错误是我们生活的世界。此外,“没有人因为购买IBM理论而被解雇”。如果您没有密码有效期,而您所在行业的其他人也没有,如果您被黑客入侵,那么您就没有遵循“行业标准做法”。更重要的是,高级管理层不能对新闻界,监管机构,法院说这句话。拥有状态全面检查防火墙,防病毒和IDS的相同原因,尽管它们现在的效率不如10年前。

话虽如此,正如大家都说过的那样,密码更改对于用户体验来说是很糟糕的,尤其是在没有单次登录或单次登录受限的情况下,这可能会导致“密码更改日”,在该日中,用户会经历一次并将30个系统的密码更改为相同的密码通常通过增加一个数字。这显然不是理想的行为。如果可以在您的法规/审计环境中更改这种文化,我的建议是更改您的政策以明确的理由删除密码过期(此处有很多)。得到适当的安全治理的批准,并由审核/监管机构进行审查。然后继续并更换系统。或者,最好使用更多的单点登录和联合ID,最好有两个因素,以便至少用户只需要更改一个或几个密码。

评论


“合规性”包括“遵守法规,这将导致行业监管机构对您的公司处以巨额罚款,以防其不称职”。在IIRC中,密码轮换是PCI合规性的强制性部分。

–dannysauer
11年6月22日在22:51

las,“合规”本质上指的是“如今无精打采,备有清单的笨拙的猴子”。不幸的是,不合规还会产生其他影响,但这与安全性无关。

– Piskvor离开了建筑物
2011年6月23日11:19



@Rakkhi:是的,是的,我并不是说这与一切无关,它绝对与底线有关,但是公司所做的其他一切也是如此。它是安全剧院,而不是实际的安全(尽管不确定这是否在此问题的范围内)。

– Piskvor离开了建筑物
2011年6月23日11:57

@Rakkhi:当然,这是一笔数十亿美元的生意;在整个人类历史上,销售蛇油和神奇的万能药都是有利可图的。盈利能力!=实用程序。

– Piskvor离开了建筑物
2011年6月23日13:27

HIPAA至少不需要密码有效期。它要求“密码管理(可寻址)。创建,更改和保护密码的过程”。 law.cornell.edu/cfr/text/45/164.308(a.5.ii.D)

–西蒙·伍德赛德
17年4月3日21:34

#7 楼

此处未提及的一个原因是,如果在其他地方找到了他们的密码,它可以防止使用同一密码进行所有操作的人破坏您的系统。在一些密码过期后,用户将开始需要输入原始密码,这意味着当他们最喜欢的密​​码被盗并且所有电子邮件,社交网站和个人帐户被黑客入侵时,您的系统仍将是安全的。 />

评论


用户将开始需要提供原始密码。对我来说,这听起来像是一厢情愿的想法。大多数用户可能会使用顺序增加的后缀或类似词,或者在两个密码之间进行旁通来“游戏”系统。 (请不要建议您存储用户曾经使用过的每个密码...)

–罗迪
2011年6月22日20:02



@Roddy:我使用了一个存储了最后十个密码的系统,但是不幸的是,可以使用顺序后缀。

–比尔蜥蜴
2011年6月22日20:51

如何强迫您在系统A上更改密码,以防止您更改系统B上的密码以匹配系统A上的新密码?现在,用户每90天在两个系统上更改一次密码,但是密码保持同步。

–this.josh
2011年6月23日下午6:20

哈哈,我想如果我的公司严格,那将是一个公式:1:从不注销; 2:每个人都方便使用自己的密码,并将当前密码粘贴在监视器上。超级安全!

–阿兰
2011年6月23日在16:19

@Chad:那不是一个“好的算法”,那是一个安全漏洞。为了执行这些检查,必须使用可逆加密(如果甚至完全加密)来存储密码。谁了解安全性,没有人以允许恢复明文或什至密码中的字符列表的方式存储密码。

– Ben Voigt
2011年7月2日14:27



#8 楼

密码过期将在多大程度上提高安全性?

该图显示了在某些情况下时间和概率之间的关系,这种暴力行为成功地攻击了一种密码,具体取决于定期更改密码。
绝对时间跨度不太重要。它有多长时间-差别不大,或者漏洞已经相当高。
如之前其他人所述,在不同的情况下,更改密码可能会有所帮助:

a)在特殊情况下,用户A告诉同事B他的密码。后来B被解雇了。现在,他可能会考虑滥用A的密码(我们假设自己的帐户已删除),但是在开始攻击之前可能需要一段时间(例如,在法庭上败诉该公司)。在这里,更改密码非常有用-但当然不能将密码从secret2010更改为secret2011。 。

在情况b)中,更改密码的策略看起来很合理,但是如果容易受到攻击的风险确实很高,您只能从中获利。让我用数字来解释一下:
假设攻击者每秒可能尝试25万个密码。
假设您说密码在183天(约6个月)后过期。
密码生成从a-zA-Z0-9(共62个标志)开始。
假设密码长为8个标志。
请检查10年后(即20个更改间隔)闯入的可能性。已经编写了一个程序,以测试不同的参数;使用
java PasswordCrackProb 8 62 250000 s 183 20

len             = 8
signs           = 62
attacks per day = 21 600 000 000
change after days= 183
intervals       = 20    days = 3660 years = 10
M               = 218 340 105 584 896
attacks         = 79 056 000 000 000
p(cracked)      = 0,3620773 without change
p(cracked)      = 0,3060774 with change

调用该程序结果表明,如果未更改密码,则有36%的机会被破解,如果更改了密码,则有31%的机会被破解(但攻击者拥有新鲜的影子文件)。如果我们花费较长的时间间隔40个时间间隔(例如20年),则差异会更大,并且更是如此:
p(cracked)      = 0,7241546 without change
p(cracked)      = 0,5184715 with change

但是尽管52%远低于72%,但52%可能无法接受。
但是如果我们查看较小的时间间隔,则更改和未更改密码之间的相对差异会越来越小。
p(cracked)      = 0,0905193 without change
p(cracked)      = 0,0873006 with change

当然,如果您假设更多的CPU功能或较弱的密码,则破解时间会变短,但是每天的攻击次数并不是很有趣。我们必须假设:我们不能强制用户每天更改密码。因此,有些日子(可能是一周)是最少的。而且我们不需要超过20年的最大值。系统在变,人们在变工作。您将不可避免地在20年后更改密码。
如果攻击者的权力太大,并且蛮横地在一天之内强制使用整个名称空间,那么每周更改将无济于事-他总是赢家。而且,如果攻击者在50年内只能暴力破解名称空间的1%(对于给定的密码长度),那么更改密码也无济于事-您(几乎)总是会获胜。
在中间平衡的情况下,密码更改可能会有所作为,但是您真的知道坏人是否需要1年,10年或100年的时间来强行使用您的密码吗?
但请记住:如果攻击者只有一次可以访问您的影子文件(该文件现已过期),因此无法进行我程序中的比较。

评论


我喜欢这个答案,但是我很高兴您的图表上升到120%的可能性:-)

–Rory Alsop♦
2011-09-15 10:56



框架上的点很容易被看到。由于在120%级别上没有点,因此没有任何直接问题,并且OpenOffice默认显示120%。使用图形而不进行进一步的图形操作只是一个快速的解决方案。

–用户未知
2011-09-15 15:29

大声笑-纯粹是让我开心的标签。我认为图表可以很好地提供随着时间的推移不断增加的差距的可视化指示。

–Rory Alsop♦
2011-09-15 15:54

是的,但值得一提的是,不安全感已经达到40%或更高。

–用户未知
2011年9月15日下午16:58

很有意思。请注意,曲线的下部几乎完全相同-您应该希望在下部。

–卡利莫
2014年5月8日,11:40

#9 楼

简单的答案-如今,它几乎无济于事。先前的答案给出了将要使用的两种主要方案,但即使那样,90天仍然没有用。

情况可能更糟-我们花了很长时间说服人们30天太短了,但又回到了窃取SAM的那天相对容易,人们非常担心暴力攻击SAM。我们达成了90天的折中协议,但许多公司都同意,但是尽管破解能力肯定有所提高,但散列得到了更好的保护,并且通常大多数地方现在至少已经有一些密码复杂性规则,因此它变得不那么重要了。

评论


Alsop,您对此的想法是否受到近期大量马裤的影响?例如,要转储MTGOX整个数据库。我肯定提高了攻击树中离线密码破解的可能性等级。即使基本的复杂性令人惊讶,也有多少设置了Password1等

– Rakkhi
2011年6月23日9:16

@Rakkhi-我倾向于依靠较长密码短语的强大功能:-)我确实同意,尽管数据库转储对于那些使用简单/简短密码的人来说是一个问题。

–Rory Alsop♦
2011年6月23日9:20

Alsop不知道任何机构设置密码长度至少为12个字符或14个字符

– Rakkhi
2011年6月23日9:22

@Rakkhi-我知道。 <叹>我们只需要继续对他们锤打。

–Rory Alsop♦
2011年6月23日9:26

#10 楼

我只想补充一件事。我们可以从社交角度解决这个问题。
每隔X天告诉用户一次重置密码-嘿,这很重要,不能掉以轻心!

评论


这实际上是非常重要的一点,常常被忽略。问题是要找到“在30天之内更改密码就是普通的STOOPID,让我们在任何地方发布密码”和“ hrmm,密码?”之间的平衡,是的,我想几年前我加入了其中之一。公司...可能写在我的工作表格上...“。凭直觉,我想通常在6个月到一年之间通常足以提醒用户密码敏感度,但对于真正的bug用户而言却不是很多。但是可以-社会因素对安全的影响比通常认为的要大

–AVID♦
2011年7月5日,0:33

它告诉我作为用户不重要,例如IT部门尚未阅读研究论文。

–伊恩·林格罗斯(Ian Ringrose)
2014年4月25日的16:21

#11 楼

作为新的NIST出版物中的新事物之一,称为“特殊出版物800-63-3”:


没有理由就不会过期。 [...]如果我们希望用户遵守并选择难以猜测的长密码,则不应使他们不必要地更改这些密码。


来自:https:/ /nakedsecurity.sophos.com/2016/08/18/nists-new-password-rules-what-you-need-to-know/

NIST本身的出版物可以在这里找到:https ://github.com/usnistgov/800-63-3

信息安全世界早已接受了一些其他建议:最少8个字符,最大长度为64个字符或更长,没有密码提示或秘密问题,允许所有字符(包括表情符号),并且没有令人讨厌的规则,例如“必须包含特殊字符,但不能包含美元或百分号”。

它仍然是草稿,但实际上回答问题。

评论


NCSC的类似建议:ncsc.gov.uk/articles/problems-force-regular-password-expiry

–空
17年1月11日,0:08

#12 楼

在质疑此问题时要考虑的主要考虑因素是您可能不知道自己的帐户已被破坏。可以在任何情况下进行更改。

通过强迫您每90天更改一次密码(或暂停帐户帐户),管理员减轻了两种风险。
1。闲置的用户/帐户将在无限制的时间内可用,攻击者可以尝试用暴力手段闯入。
2。那就是,如果您没有遭到破坏,无论如何(无论如何将攻击者重新锁定到您的帐户之外),您都必须更改密码。

评论


1)对于不活动的帐户,为什么在90天不活动后不禁用该帐户?应该很容易分辨出是否未使用该帐户。 2)锁定攻击者的最佳情况是什么?减少使用小时,分钟?攻击者需要多长时间才能从被盗帐户中获取价值?

–this.josh
2011年6月23日在6:23



进入的场景太多了,不可能一一列举,但是不用说在所有情况下更改密码都是没有用/不必要的。也就是说,在某些情况下它确实有用。

– DKGasser
2011年6月23日在11:13

#13 楼

大多数在线服务(例如银行)都会限制每个时间单位的在线尝试次数,从而使暴力攻击徒劳无功。

密码更改策略的结果几乎总是存在安全风险。它可以采用PostIt密码的形式,也可以采用以下形式的密码:pass!1000,更改为pass!1001,然后更改为pass!1002,依此类推。

#14 楼

从某种意义上说,该机构强制每隔一段时间更改一次密码似乎更好。但是,如果用户在该时间间隔内更改密码,但总是在更改后留下a沥沥,则更改密码毫无意义。相反,它是更严重的威胁。用户感到他/她已更改了他/她的最后密码,并感到安全。

-

最好的方法总是建议服务提供商实施更好,更安全的算法,然后要求其提供密码。最终用户每次都要重置该死的密码。如果某人足够相同,他/她将记住这些日子,我们拥有单一登录和OpenID,人们更喜欢使用一个帐户登录,而不是记住不同网站的不同密码。

-
尽管进行了所有讨论,建议您经常更改密码,
但是,

On YOUR FREE WILL


快速提示:在您的密码中使用多个单词密码(最安全的标记日期)。

#15 楼

补充说一下,我可以想出定期更改密码有帮助的另外两个原因:

1)当计算能力显着提高时90年代7个字符的密码被认为是安全的,因为计算机的功能不足以对其进行暴力破解。

24年后,仍具有相同密码的系统可以成功被暴力破解。

进行一些计算,考虑到密码由24个字母(大写和小写),10个数字和10个符号以及摩尔定律(每2年增加2倍的幂)组成:

possible combinations = (24 + 24 + 10 + 10) ^ 7 = 6,722,988,818,432

tries per second in 1990 = 100,000 (for example)

time required in 1990 = possible combinations / tries per second = 2 years

tries per second in 2014 = tries per second in 1990 * (2 ^ 12) = 409,600,000

time required in 2014 = possible combinations / tries per second = 4 hours


这更多是关于增加最小所需密码长度,但是应该定期进行,并且应该更改短密码。

2)符合ISO / IEC 27001/27002标准


从ISO / IEC 27002:2013第9.4.3节开始:


密码管理系统应:

...

e)强制执行常规密码更改并根据需要;


3)符合PCI DSS标准


来自PCI DSS v3,第8.2.4节:


8.2.4至少每90天更改一次用户密码/密码。

8.2.4.a对于系统组件的示例,请检查系统配置设置,以验证是否将用户密码参数设置为要求用户至少每90天更改一次密码。

8.2.4.b针对服务提供商的附加测试过程:查看内部流程和客户/用户文档,以验证:


非消费者用户密码为需要定期更改;和
指导非消费者用户何时,在什么情况下必须更改密码。

长期有效的密码/短语无需更改就可以为恶意个人提供有更多时间来修改密码/短语。


评论


@PhilippeCarriere ISO / IEC 27001有多个版本。我指的是最新的2013标准。还有一个较旧的2005年标准,可能正是您正在查看的标准。

–巴本·瓦尔达扬(Babken Vardanyan)
15年7月28日在5:41

@PhilippeCarriere啊是的,很抱歉,我的意思是ISO / IEC 27002:2013。它包含比27001更详细的说明,后者更抽象。

–巴本·瓦尔达扬(Babken Vardanyan)
15年7月29日在6:07



+1表示符合ISO / IEC 27002:2013标准。

– Philippe Carriere
15年7月29日在14:46

研究表明,更改密码并没有帮助。但是,某些公司这样做的唯一原因是要符合某些标准。 PCI DSS标准,ISO甚至FDA ...

– Bobort
16年11月7日在16:59

#16 楼

我们轮流使用“公共密码”(来宾wifi)以清空离开公司后的员工的访问权限。

我们接受轮换“个人密码”的负担,因为a)我们始终从假设每个非技术人员的帐户都已被黑客入侵。
b)“自动关闭”所有被遗忘的帐户。
由于“集中设置新密码”访问权限是我们唯一从未使用过的访问权限忘记关闭。 (所有单点登录依赖关系的安全失效期)
还包括交给新所有者的硬件(笔记本),并且可能具有“保存的密码”。

(c )另外,它使人们可以知道密码的自动保存位置。)

(d)另外,在出现可疑的数据丢失之后,我们可以告诉人们“请更改所有密码” 。这仅对经过密码更改培训的员工可靠地起作用。

#17 楼

对问题的严格字面理解可以得出答案:它以消极的方式提高了安全性:通过便利贴或使用增加的数字或移位编号。

它可以降低法律风险。但是,合规性会产生问题。

#18 楼

已经有许多答案表明,经常强迫用户更改密码是没有用的。我想补充一下可能是最著名的安全专家布鲁斯·施耐尔(Bruce Schneier)的观点。

他基本上说,这取决于密码所保护的内容以及如何使用被盗密码。这听起来很明显,但是在Facebook的密码和您的网上银行的密码之间根本看不出来,最好更改前者。没错:更改您的Facebook密码而不是银行的密码更有意义。让我们看看为什么。

定期更改密码有助于防止有人找到它并且您仍然不知道它,因为攻击者更喜欢隐身。



在许多情况下,如果攻击者发现了您的密码,他会做一些您肯定会做的事情,具体取决于他们所破坏的帐户。注意。例如,如果他可以访问您的银行帐户,则会从中转出资金。引用布鲁斯的话:
“在这种情况下,定期更改密码没有多大意义
-但是在欺诈发生后立即更改密码至关重要。”这个想法是,如果没有人从您的帐户中窃取资金,则很可能意味着没有人找到您的密码(为什么他们会等待,否则?),因此没有理由更改它。
相反,窃取您的Facebook密码的人可能会使用它来监视您。例如,您的妻子可能用它来检查您是否有情人。在这种情况下,您不会注意到
攻击,因为攻击者希望能够继续监视您
,因此他们不会发布新消息或任何会
引人注目。在这里,定期更改密码会
阻止她继续。

因此,鉴于攻击场景的不同,更改Facebook密码比更改银行密码更有用。这很违反直觉,但是很有意义。

评论


+1,除了最后一句话。如果有道理,那么就定义而言,这不是直觉。

–丹·亨德森(Dan Henderson)
17 Mar 11 '17 at 0:28

#19 楼

丢失,放错位置或被盗的硬件也可能是攻击媒介,最多只能提供混淆的密码。

Attacker可以窃取智能手机并恢复WiFi密码-在大多数情况下,通用用户帐户。

评论


如果用户注意到某些东西被盗,那么如果他关心安全性,他应该立即更改密码。在这种情况下,常规密码更改(数月)不重要。

–巴本·瓦尔达扬(Babken Vardanyan)
14年6月22日在21:12

@ user2529583:问题是,用户通常不关心安全性。这对他们来说是一个负担-许多人认为书呆子建立这些东西只是为了折磨他们。

–休伯特·卡里奥(Hubert Kario)
15年1月24日在13:46

#20 楼

我个人认为,对办公室用户(或对计算机使用几乎不熟悉的人,更不用说网络安全性)强制使用密码有效期,在许多组织中都是这样的。如上所述,这种情况下的主要安全漏洞是那些相同的办公室用户只是将他们的密码写在便笺上,然后将其粘贴到屏幕上或粘贴在办公桌上。或者,如果此人稍微更“高级”,他们可能会开始使用诸如letmeinMONTHYEAR之类的密码。

但是,一旦进行了适当的密码管理,定期的密码到期是一件好事。显然,大多数(非专家)人将无法记住真正安全的密码-类似于v^i77u*UNoMTYPGAm$。那么我们该怎么办?

我个人使用密码管理器来跟踪我所有的密码,除了一个是主密码。这确实简化了事情,并使它们更安全(只要我的主密码本身是安全的,并且我可以轻松地重新输入密码以登录到密码管理器。)有几种商用密码管理器,我将让您发现并测试它们你自己。我个人使用Lastpass,Lastpass是免费的,可以安全使用。它可以通过网络浏览器使用,也可以作为应用程序安装在智能手机或平板电脑上。至于让第三方解决方案管理您所有密码的安全问题,我依靠Steve Gibson进行的审查。您可以在此处观看其完整版本。

评论


我依靠史蒂夫·吉布森(Steve Gibson)所做的审核

–森林
18 Mar 16 '18在6:54

@forest,您在这里有一些实质性的批评吗?对于真实的人来说,安全性是许多不同事物之间的权衡。对于大多数人来说,正确评估这种工具的安全性的时间是许多不值得投资的事情之一,因为他们通过该工具进行密码泄露的风险非常低,以至于需要花费大量时间进行彻底的检查。审查浪费了。即使对于安全专家,您是否也已验证了操作系统,浏览器以及触摸密码的计算机上所有软件的代码?那你的司机呢?

– Paul
18 Mar 19 '18 at 14:59

@Paul我已经“验证”了我操作系统上的许多代码,包括驱动程序。我尚未验证浏览器(老实说,Firefox和Chromium代码都使我大失所望),因为所需要的只是一个能够维护浏览器周围安全策略的内核。这就是TCB。

–森林
18 Mar 20 '18在2:24

#21 楼

当您的用户是人类时,它并不一定会提高安全性。
请参阅首席技术官Lorrie Cranor撰写的FTC文章“重新思考强制性密码更改的时间”,该研究基于人类如何实际使用这些系统的研究。 (在此处,华盛顿邮报的报道。)此外,正如SANS安全博客中所讨论的那样,“更改行为的关键准则之一是(专注于)针对最大风险的最少行为。”要求更改密码的成本可更好地花费在教会用户使用强大的唯一密码和/或密码管理器/多因素身份验证上。此外,由于与长期的,缓慢的,手动的密码更改可以阻止中断的攻击相比,密码更改的好处现在已经下降,因为攻击可以而且通常确实发生得更快。

评论


下注的解释?那不是可靠的来源或有用的信息吗?

– WBT
16-3-3在20:26



通常仅对链接答案不满意-最好提取相关部分并将其包含在此处,以防链接腐烂

–马修
16-3-3在20:27

似乎更像是建议人们添加一些编辑认为最重要的部分,而不是隐瞒来源。

– WBT
16年3月3日在20:30

尽管此链接可以回答问题,但最好在此处包括答案的基本部分,并提供链接以供参考。如果链接的页面发生更改,仅链接的答案可能会失效。

– Xander
16 Mar 3 '16 at 20:32

@WBT我在这里猜测,但是由于您是获得代表积分的人,我怀疑人们宁愿在自己的帖子中引用相同的来源,但从中提取关键点,而不是编辑您的代表。 。

–马修
16 Mar 3 '16 at 20:41

#22 楼

我会倾向于同意,这主要是由合规性驱动的要求,充其量只能带来安全性的一点点净增长(不幸的是,由于否则合法用户在90天后被锁定,到计算机的通信失败,原因是它们的密码已过期并且没有人更新它们,致电服务台以解决密码重置问题等)。一项政策(尽管-特定密码的相对较长的有效期大大减少了这些理由。毕竟,如果网络骗子获得90天的密码,他或她可以造成很多损害)。

最大的优势在于以下情况:


您被黑或以其他方式受到破坏,网络骗子会找到您的用户名和密码。
它恰好在“更改阈值”时间周期内d(通常是在本季度末,并且不要以为网络骗子不知道这一点)。
您需要更改“旧”密码(您和网络骗子都需要更改此密码,知道)。
您遵循公司政策并更改密码,这意味着现在网络骗子再次被锁定。他或她可以尝试使用与以前相同的方法,也可以未经授权地访问此凭据...但是这样做可能会很烦且耗时。

这里的重点是,“将密码更改为新密码”,这并不是网络罪犯通常要做的事情,因为从他或她的角度来看(除非密码劫持确实是一种拒绝服务攻击),更改密码并将合法(原始)所有者锁定在帐户之外,将立即提醒合法用户发生了不愉快的事情。

这是基于网络犯罪分子通常一次劫持成千上万个密码的事实。更改所有这些设置,尤其是因为它们可能无法访问设置为允许合法用户执行此操作的后端系统,可能是一项艰巨的任务。

上述内容都没有写成忽略网络骗子通常会在未经授权访问您的系统的那一刻建立自己的特权帐户,或者无视“强制性90天密码更改”范式中其他普遍存在的弱点这些日子。将此规则视为分层防御策略中的一个(次要)元素,您会发现它占有一席之地...但是,要阻止坏人,绝对不是您应该依靠的东西。

#23 楼

如果使用了合理的强密码,则不会。如果攻击者设法从数据库中提取散列值,则最终可以将其脱机破解,则可能需要定期更改密码。但是,当应鼓励用户选择强密码(例如,基于长密码短语)时,强制更改密码似乎是安全性的一种较弱形式。因此90天的更改限制旨在保护这些帐户。由于这些用户不了解或不关心其帐户的安全性,因此他们可能会根据其旧密码选择另一个弱密码(这意味着攻击者可以破解旧密码,然后在在线攻击中使用该密码的变体) 。将90天策略与检查新密码与旧密码的相似性相结合可以被认为是有帮助的。其他用户的密码将更难以破解,尽管如果攻击者投入了足够的时间,这是完全可能的-密码强度低于128位的任何密码都意味着它最终有可能被破解,尽管除非攻击者对特定帐户特别感兴趣,因此发生的可能性很小。

更改密码的一个可能的好理由是用户经常将密码保存在不安全的地方。例如,浏览器的自动完成功能可能已经记住了朋友计算机上的密码。但是,这既不存在也不存在。

这就是为什么经常更改它们被认为是一种好习惯的原因。 90天满足最低的公分母。任何使用使用密码生成器生成的强密码的用户都将拥有最小的麻烦来进行更改,因此此策略不会引起严重的问题。我可以理解使用此政策拥有许多帐户的用户会感到恼火。

经常更改密码的另一个原因是,密码存储算法(例如bcrypt和其他密钥派生函数)具有迭代计数,随着摩尔定律的掌握,可以将其增加以增加工作因子。输入新密码将使密码散列有更多的迭代机会,或者随着系统安全性的提高而更新整个散列算法。例如,如果站点最初存储明文密码,然后迁移到SHA-1,然后先用salt迁移到SHA-1,然后最终迁移到bcrypt,那么更改密码的操作通常被用作更新此用户存储格式的机会在数据库中。

请注意,从技术上讲,不需要更改密码,只是许多系统会在此时将密码重写为存储,但是由于明文密码,他们也可以在成功登录后执行此操作此时也将可用。强制更改密码将在这些情况下提供帮助,并且还具有以下优势:如果站点上存在任何未发现的密码泄漏漏洞(例如SQL注入),则密码将被更改为更安全的某种形式,并且将使用哈希格式更新。请注意,强制更改密码无助于更新非活动帐户,这就是为什么某些标准规定一段时间后(例如90天后的PCI)禁用非活动帐户的原因-如果密码也以某种格式存储在数据库中,还建议将其清空,以防用户在其他地方重用它,以后又将其泄漏。