¿Con qué frecuencia cambia su contraseña de administrador / root?

12

Tengo la mala costumbre de cambiar la contraseña de administrador en mi dominio. Las contraseñas que uso son bastante buenas, pero quiero ser más coherente en esto.

¿Cuál crees que es una buena frecuencia? ¿Cada 6 meses quizás?

password 
usuario24555
fuente
90 días es una buena práctica general recomendada para cambiar contraseñas.
Warner
En Unix, puede usar una herramienta como sudo, lo que significa que a ciertos usuarios se les puede otorgar privilegios de root por un corto tiempo. No necesitan saber la contraseña de root. De hecho, puede salirse con la suya sin tener un conjunto o sin saberlo. En este caso no necesita cambiarlo. Sin embargo, los usuarios deberán cambiar sus propias contraseñas.
Matt
Oh, Dios, después de leer todas estas publicaciones, sé con certeza que a veces trabajo en un dominio (del cual no soy el administrador del sistema, pero tengo una cuenta de administrador) donde la administratorcontraseña ha sido la misma durante 7 años, y solo tiene 8 caracteres de longitud. Tal vez les envíe un correo electrónico ...
Mark Henderson

Respuestas:

9

Hagamos un cálculo rápido (y olvidemos las mejores prácticas por un momento):

Suponga un plazo de seis meses para que un atacante piratee su sistema. Supongamos también que las contraseñas se eligen aleatoriamente de un conjunto de caracteres de tamaño 62.

Escenario 1: utiliza una contraseña de 9 caracteres para los seis meses completos.

Escenario 2: utiliza una contraseña de 9 caracteres para los primeros tres meses y una contraseña diferente de 9 caracteres para los tres monts restantes.

Escenario 3: utiliza una contraseña de 10 caracteres para los seis meses completos.

En el escenario 1 , un atacante de fuerza bruta piratea su cuenta con 100% de certeza, si puede hacer 62 ^ 9 intentos en ese momento.

En el escenario 2 , si solo puede hacer (62 ^ 9) / 2 intentos en la mitad del tiempo (tres meses), pirateará la cuenta con un 50% de certeza. En la segunda mitad, tendrá otra oportunidad con un 50% de certeza. Entonces, estadísticamente, hackeará la cuenta con un 75% de certeza.

En el escenario 3 , tendrá 62 ^ 9 intentos durante los seis meses completos. Pero hay 62 ^ 10 posibilidades. Entonces, hackeará la cuenta solo con 1/62 de certeza, eso es aproximadamente 1.6%.

Entonces, si omitimos todos los demás factores (como contraseñas robadas y otros tipos de ataques), la recomendación sería elegir contraseñas más largas que usar contraseñas más cortas (o más simples), incluso si se cambian con más frecuencia. Especialmente, porque en el Escenario 3 , solo hay 10 caracteres para recordar, mientras que en el Escenario 2 , son 18 caracteres.

Chris Lercher
fuente
2
+1, usa contraseñas muy largas. En realidad, nadie va a descifrar una contraseña de más de 18 caracteres en 6 meses. Si realmente quieren que sus datos sean tan malos, simplemente irrumpirían y robarían el servidor.
Chris S
Me encanta esto, bien dicho. Con contraseñas ... el tamaño importa.
Kara Marfia
Entonces, una buena contraseña larga debería funcionar bien durante bastante tiempo. Creo que usaré una buena contraseña y haré un ciclo de 12 meses. Esto me dará una buena oportunidad para documentar todo lo que se va a romper (desafortunadamente). Editar: Por bueno me refiero a más de 16 caracteres. Me gusta usar oraciones que incluyen puntuación y espacios y todo.
user24555
Siempre me río cuando alguien habla de forzar una contraseña con fuerza bruta. No va a suceder. Período. Solo la NSA (o equivalente) o el crimen organizado pueden hacerlo, en cuyo caso tienes problemas mucho más grandes que de todos modos no se pueden resolver con una buena contraseña.
Dan Andreatta
Agregando al comentario anterior, hice un cálculo rápido, y me llevaría aproximadamente 1 día descifrar una contraseña de 6 caracteres con un escritorio moderno, lo que lleva a 10 años para contraseñas de 8 caracteres. El rendimiento para el cifrado si es de prueba de velocidad openssl.
Dan Andreatta
2

Somos en su mayoría windows, y cada uno de los administradores tiene su propia cuenta de administrador de dominio, y solo confiamos el uno en el otro para tener contraseñas seguras y cambiarlas de vez en cuando. Estoy seguro de que todos tienen contraseñas seguras porque usamos la presión de grupo para asegurarnos de que sean largas y tengan números y / o caracteres, pero no las cambiamos con la frecuencia suficiente.

AGREGADO: Por ahora, la mayoría de la gente probablemente ha escuchado esto, pero por si acaso. El experto en cifrado y seguridad Bruce Schneier dice que debe tener contraseñas seguras y anotarlas.

Ward - Restablece a Monica
fuente
¿Cómo funciona esa presión de grupo? ¿Pueden las personas ver las contraseñas de los demás?
Bill Weiss
2
Según mi experiencia, no se puede confiar en ningún usuario para cambiar su contraseña por su cuenta, incluso el personal de TI.
ITGuy24
@Bill: solo somos 3, y hemos trabajado juntos durante mucho tiempo, por lo que la presión de grupo es similar a "No te vi escribir ningún número en ese momento ..."
Ward - Restablece a Monica
Eso no se escala muy bien :) Además, adquirir el hábito de ver a la gente escribir sus contraseñas de administrador no funcionará si va a otros sitios muy a menudo.
Bill Weiss
¿Qué hay de tener algo así como un "juramento"? Si otro administrador puede romper su contraseña (usando algo como ophcrack), debe poner $ 5 en el bote.
Nic
1

Aunque, en teoría, sería mucho mejor cambiar las contraseñas con frecuencia, el factor de "escribir eso en un post-it" aumenta exponencialmente a medida que el período de validez se acorta.

Si esto es solo para uso privado, ¿por qué no usar la autenticación de clave pública y tener un buen PW para su llavero?

Alexander T
fuente
1
Esta pregunta tiene toneladas de ideas para administrar contraseñas: serverfault.com/questions/21374/…
Ward - Reinstate Monica
1

¿Realmente estás hablando de la cuenta de administrador para el dominio (SID: S-1-5-21domain-500), o estás hablando de la cuenta de administrador que creaste para que puedas obtener registros útiles sobre quién hace qué?

En general, configuraré la cuenta de administrador para que tenga una contraseña larga (más de 20 caracteres) y almacene la contraseña en un lugar seguro y nunca use esa cuenta. Por lo general, solo cambio esa contraseña cada año más o menos. Nuestra red también tiene sistemas de bloqueo y tales que deberían evitar que cualquier ataque remoto de fuerza bruta sea muy efectivo. Como nunca uso la contraseña para las tareas del día a día, la posibilidad de que sea interceptada es casi inexistente.

Si habla de mi cuenta personal a la que le otorgué privilegios de administrador, tiendo a cambiarla cada 6 meses. También tiendo a usar la autenticación basada en claves siempre que sea posible, de modo que mi contraseña rara vez se transmite a ningún lado. Tampoco trabajo generalmente con lo que creo que la mayoría de la gente consideraría sistemas de alto riesgo.

Zoredache
fuente
Estoy hablando del administrador de dominio. Mi propia cuenta no es parte del grupo de administración de dominio. Creo que sería una buena práctica dejar de usar el administrador de dominio original y hacer un administrador de dominio secundario con un nombre de usuario diferente.
user24555
0

No importa qué tan complejas sean las contraseñas. Siempre es una buena práctica cambiar su contraseña cada 30 a 42 días. 6 meses es una contraseña demasiado antigua. Siempre debe implementarse una buena política de contraseñas para mantenerse a salvo :-)

Vivek Kumbhar
fuente
44
¿De dónde sacas "30 a 42 días"?
Bill Weiss
Es una buena práctica de seguridad que las contraseñas caduquen cada 30 a 90 días, dependiendo de su entorno. De esta forma, un atacante tiene un tiempo limitado para descifrar la contraseña de un usuario y tener acceso a los recursos de su red. Valor predeterminado: 42. No son mis palabras, tomándolo de "Mejores prácticas"
Vivek Kumbhar
1
¿Qué tal si nos da un enlace a un documento o referencia donde se establezca esto en lugar de simplemente repetir que es una 'mejor práctica'? Por lo general, me niego a considerar que algo es una práctica recomendada a menos que se publique en una fuente confiable.
Zoredache
1
seguro .. me alegro de haber preguntado technet.microsoft.com/en-us/library/cc784090(WS.10).aspx
Vivek Kumbhar
La herramienta de búsqueda de mi navegador debe estar rota. No veo un "42" allí.
Bill Weiss
-1

Normalmente solo restablezco las contraseñas raíz después de que un miembro del personal se ha ido ... pero aliento a los usuarios con acceso a sudo a cambiar las suyas cada 90 días.

Philip
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.