现在,我想将其更改为更安全的密码但是相反,我收到了一条不错的错误消息:
您输入的密码不符合最低安全要求。
这很有趣,考虑到这个新密码比上一个密码使用更多的字母,更多的数字和更多的特殊字符。
我做了一些研究,发现我使用的服务具有安全规则,您必须等待在再次更改密码之前24小时。
我问我的提供商他们是否可以更改该链接的可接受答案,但他们说他们不能这样做,而24小时的等待是“出于安全原因”。
这导致了我的问题。
如何等待24小时再次更改密码是安全的?使用户等待一次才能再次更改密码的利弊是什么?
#1 楼
就其本身而言,每天只允许更改一个密码的规则不会增加安全性。但这通常是在另一条规则中说的,即新密码必须与前n个(通常为2或3个)密码不同。每天更改一次规则是为了避免这种情况。琐碎的变态:
由于时间已到,用户必须更改密码
将其更改为新密码
他立即重复更改保存的密码数量减去一个
,他会立即将其更改为原始密码=> hurrah,仍然是相同的密码,这显然是第一条规则试图防止的密码...
好,规则可能是在一天内多次更改密码,而不会滚动最近的密码列表。但是不幸的是,前者内置在许多系统中,而后者却不是...
不同的说法,这只是一种迫使非合作用户及时更改其密码的尝试。
在评论说允许用户永不更改密码不是安全问题后,进行了简单的概率分析。假设您有一个非常认真的用户,并且其密码在一天内被泄露的风险为1%。假设一个月约20个工作日,则每季度遭受损害的风险约为50%(1-(1-1 / 100)^ 60)。一年(200个工作日)后,我们达到了87%!好的,可能是1%,并且每天刚开始时为0.1%,只有千分之一,是微不足道的,不是吗?但是在一年(200个工作日)之后,开始受到威胁的风险几乎为20%(老实说为18%)。如果它是假期照片的密码,我不在乎,但是对于更重要的事情来说,它确实很重要。
这意味着最重要的是教育用户并让他们接受规则,因为我们都知道规则可以轻松地绕开,并且如果用户不同意规则,则将无法合作。但是,要求用户定期更改其密码是基本的安全规则,因为可以在用户不注意的情况下更改密码,并且唯一的缓解方法是更改(可能是已更改的)密码。
评论
只是一个小警告:强迫用户无故更改密码也不会增加安全性。
–Agent_L
17年4月3日在13:16
不,实际上,从第0天开始,这些风险都是相同的。只有更多的风险可以承受。另一方面,太多的限制迫使用户发明非常简单的算法来记住它们,例如Password1,Password2,Password3或1月,2月,3月3日,因此很难缓解重复暴露的风险,但是却失去了复杂性。
–Agent_L
17年4月3日在13:31
@AgapwIesu:用户总是可以发明规则不知道的新的琐碎变更算法,他们会这样做。密码过期策略非常有害。
–R .. GitHub停止帮助ICE
17年4月3日在14:18
@SergeBallesta如果用户很顽固,无法连续20次重置密码,则试图迫使他们进行改进似乎无望。
–德米特里·格里戈里耶夫(Dmitry Grigoryev)
17-4-4在11:54
您的示例中的数学不起作用。由于第1天与第30天每天遭受密码泄露的可能性相同,因此每天更改密码的可能性为18%。这样做的唯一好处是限制了有用的窗口,坏人可以在其中使用密码。
– Ukko
17年4月5日在14:29
#2 楼
其他答案涵盖了可能的安全性好处,但是对我而言,一个重大缺点是:如果攻击者控制了帐户并更改了密码,则可以保证至少有24小时的访问窗口,在此期间,合法用户无法重新获得对其访问权限的访问权限帐户并锁定攻击者。更糟的是,每隔24小时更改一次密码,他们可以无限期地保持访问权限,除非用户对自己的时间安排感到非常幸运。
评论
这有点天真。当用户意识到自己的帐户遭到盗用时,他们只需致电支持部门就可以锁定该帐户。
–德米特里·格里戈里耶夫(Dmitry Grigoryev)
17年4月4日在10:29
@DmitryGrigoryev与客户支持联系以锁定帐户所需的时间要长得多,然后需要保留密码来重新获得控制权。而且,根据提供者的不同,他们将需要帐户提供的信息,攻击者可以更改这些信息,从而使重新获得控制权变得更加困难。
–乔W
17年4月4日在13:43
@DmitryGrigoryev不到24小时?为什么要花比电话更长的时间来锁定帐户?事实是,客户应该能够自己重设密码并重新获得对帐户的控制权,然后更快地致电客户支持以获取帮助。如果攻击者可能造成损坏,而这可能需要花费大量时间和精力才能撤消,则必须坐在电话上等待30分钟到几个小时才能重新获得对帐户的控制权。
–乔W
17年4月4日在14:23
废话。如果攻击者更改了密码,则合法用户将无法在一百万年内重新获得访问权限,因为他们没有新密码。在任何情况下,攻击者都拥有无限的访问权限,直到管理员更改密码或锁定帐户为止。
–恢复莫妮卡-notmaynard
17年4月4日在14:58
通常,客户支持仅在某些时间开放。如果我发现该帐户在周末遭到入侵怎么办?如果我在下班后的晚上发现了该怎么办?此外,在受到威胁时预先更改密码有时很有用。如果我怀疑密码/帐户可能已被盗用,但不确定,该怎么办?以防万一,更改密码很容易,但是致电客户服务部门(并在队列中等待电话来联系真人)是一个更高的要求。
– D.W.
17年4月4日在15:57
#3 楼
在分布式系统上更改密码之类的内容时,更改可能需要一段时间才能生效。如果可能同时有多个更改请求待处理,则将需要额外的代码复杂度以确保它们都能正确解决,特别是如果要求这些请求包括有关旧密码和新密码的信息(不一定包括其中的任何一个,但可能仅包括一些密码)形式的“三角洲”]。这样的问题不是无法克服的,但是如果可以接受的是要求任何密码更改在发布另一个密码之前都有机会渗透到整个系统中,则可以避免这种复杂性。评论
我不会为任何现代的分布式系统花24小时进行复制的理由,但是,金融行业中有很多遗留应用程序都使用大型机作为后端,它们在一夜之间进行批处理。由于我们无法预测您的交易何时会被处理,因此我们只要求24天安全起见。
–伊凡
17-4-3在23:21
@Johnny:即使考虑到旧系统,我也不希望密码更新通常会花费24小时左右,但是某些数据库服务器有时可能会因为维护,系统升级或故障恢复而被关闭,而银行可能不希望宣传何时会发生。
–超级猫
17年4月4日在18:44
#4 楼
我认为出于安全原因,他们正确地定义了该密码。如果有人入侵了您的帐户,那么您应该会收到某种通知,表明已检测到从新设备或工作场所登录的通知。用这些术语来说,此安全功能将完全取决于跟踪您问题的支持者,如果他们做出足够快的响应,您将根据其安全策略获得新的更改密码,以防被黑客入侵。
但是我们也可以假设这不是最好的策略,因此如果您想再次更改密码,如果他们至少保留24小时的时间,那么他们应该施加更多限制。
评论
但是OP要求支持人员更改密码,而他们不会。
– schroeder♦
17年4月3日在14:59
在黑客入侵的情况下,极少有机会拒绝帮助OP。正确完成身份验证后,他们没有理由拒绝OP请求,因为安全问题和电话号码已注册,并且在某些情况下也包括指纹,这就是为什么我还提到应该有更严格的策略来定义所有这些限制紧急情况,例如黑客入侵帐户。
–吉宾·菲利波斯(Jibin Philipose)
17年4月4日在16:54
@GamerD:如果一个帐户具有一个与密码分开的“访问被阻止”标志,则当另一个帐户正在进行时发出密码更改请求的困难将不适用于帐户阻止请求,除非当另一个帐户被阻止或解除阻止请求时进行中。
–超级猫
17-4-4在18:51
您是完全正确的,它与现代数据库所采用的实时算法有关,因此,正如我所说的,定义策略是一件重要的事情,在这种情况下,该数据库的管理员必须介入,否则技术支持只会转发向管理员查询,然后他将提出一个可行的解决方案,这肯定不会让黑客操纵访问标志或黑客可能利用的任何其他漏洞。
–吉宾·菲利波斯(Jibin Philipose)
17年4月6日在16:46
#5 楼
让我们举个真实的例子,为什么这可以带来很好的安全性改进。让您说您的同事或任何发现您的Webmailer密码的人(例如7年前的GMail,没有2个因素)。
攻击者可以访问Web界面以更改密码(出于某些原因),并通过POP3进入您的邮件。
由于Google是一个庞大的网络,因此需要一些时间才能禁用旧密码才能访问POP3。这使攻击者可以一次又一次地重置密码。即使您使用重置功能重新获得访问权限,并通过智能手机上的邮箱访问或通过短信向智能手机的重置策略来验证自己,攻击者(仍然可以使用旧密码或自己的密码通过POP3访问您的邮箱)重设密码。
遭受此类攻击后,受害者无法永远将您拒之门外,因为攻击者无法删除SMS号码之类的重设策略-但据信这种风险很高。
如果仅每24小时才可以更改一次密码,则可以很容易地防止此攻击媒介。
评论
“每24小时只能更改一次密码”,这是因为`用户每天(希望)只会打扰我们的帮助台一次”我认为这可以防止别人在您吃午饭时更改它,做很多不好的事情,以及在您退回之前再将其更改。
@dandavis:但是这种情况要求他们知道您的原始密码,因此他们根本不需要更改它。
在我工作过的组织中,这是为了防止人们绕过密码历史记录要求。如果您不能重复输入最后20个密码,那么人们显然会反复进行20次迭代来重置其密码,然后他们便可以将其重新设置为首选密码。
@ music2myear对此的简单解决方案是使密码历史记录基于时间,而不是基于迭代。即“您不能再使用最近6个月内的任何密码”,而不是“您不能再使用最近20个密码中的任何一个”。