Habiendo recibido un correo electrónico de un proveedor informándonos que nos obligarían a cambiar nuestra contraseña cada seis meses, tengo curiosidad por ver qué políticas de caducidad de contraseña usan las personas y por qué las usan.
Respuestas:
Aquí hay una línea muy fina entre nunca cambiarlo y cambiarlo con demasiada frecuencia. Tener las mismas contraseñas durante años a menudo no es una buena solución, especialmente si está disponible públicamente. Pero forzar una política rígida de cambiarlo con demasiada frecuencia también tiene efectos secundarios negativos. Un lugar en el que trabajaba obligaba a todos los usuarios de la red interna a cambiar las contraseñas cada 6 semanas y la contraseña no podía ser la misma que las seis contraseñas anteriores. Tres contraseñas incorrectas bloquearon la estación de trabajo y el personal de TI tuvo que desbloquearla. Lo que resultó en que todos escribieran la contraseña en notas Post-It colgadas en la pantalla o colocadas en su cajón. Pesadilla.
Yo diría que cambiar la contraseña una vez cada 6 meses debería ser suficiente. Esto evitará esas temidas notas Post-It.
Sugeriría emplear un poco de matemática que tenga en cuenta la complejidad mínima de su contraseña, la rapidez con que un atacante podría adivinar las contraseñas, la cantidad de cuentas desbloqueadas que tiene y cierta información informada sobre sus riesgos.
Esperemos que tenga algún tipo de limitación de velocidad para adivinar la contraseña. Por lo general, sería a través de algo que bloquea temporalmente las cuentas después de cierto número de contraseñas incorrectas.
Y es de esperar que tenga algún tipo de requisitos de complejidad de contraseña para que "A" y "contraseña" no estén permitidas.
Supongamos que después de 30 fallas en la contraseña en 10 minutos, bloqueará una cuenta durante 20 minutos. Eso limita efectivamente la tasa de conjetura de contraseña a 174 por hora, o 4176 por día. Pero supongamos que es por usuario.
Supongamos que necesita contraseñas de más de 8 caracteres que contengan mayúsculas, minúsculas y un número, y que realice algunas verificaciones de diccionario para asegurarse de que esas contraseñas sean razonablemente aleatorias. En el peor de los casos, todos sus usuarios ponen el uno superior y un número en el mismo lugar y su atacante lo sabe, por lo que tiene 10 * 26 ^ 7 (80G) posibles contraseñas. El mejor caso es 62 ^ 8 (218T).
Por lo tanto, un atacante que pruebe todas las contraseñas posibles las golpeará a todas dentro de 50,000 años en el peor de los casos, y casi 600 millones de milenios en el mejor de los casos. O, para decirlo de otra manera, dado un año tendrían entre 1 en 50,000 y 1 en 52,000,000,000 de adivinanzas. Si tiene una base de usuarios de 50,000, está casi garantizado que, en el peor de los casos, ingresarían en una cuenta por año y tendrían aproximadamente un 50% de posibilidades de obtener una cuenta cada 6 meses.
¿Y si no tuviera límite de velocidad y un atacante pudiera adivinar mil millones de contraseñas por día? Una de cada 600 posibilidades de ingresar a una cuenta en un año, o una garantía virtual de obtener aproximadamente 80 de sus 50,000 usuarios cada año.
Trabaje en esa matemática y descubra cuál es su nivel de riesgo aceptable. Y recuerde que cuanto más breve sea la configuración, más difícil será para los usuarios recordarla y más probable es que la tengan escrita en algún lugar conveniente para un atacante en el sitio.
Como una ventaja adicional: si alguien está probando miles de contraseñas por usuario por día contra sus sistemas, realmente espero que tenga algún tipo de monitoreo que pueda detectarlo.
EDITAR: Olvidé mencionar: nuestra política real es de 90 días, pero eso tiene todo que ver con los hallazgos de auditores de seguridad equivocados y nada que ver con la realidad.
90 días parece ser suficiente para la mayoría de los escenarios. Mi mayor preocupación es la complejidad de la contraseña. Más que el problema del marco de tiempo en la generación de notas post-it es la complejidad forzada. Una cosa es evitar las palabras del diccionario y otra es tener caracteres especiales, pero cuando comienzas a decir que ningún personaje puede repetirse o estar en orden ascendente / descendente, has dificultado la vida de tus usuarios. Agregue eso a una corta vida de contraseña y acaba de recibir más problemas.
La caducidad de la contraseña es molesta y reduce la seguridad.
La caducidad de la contraseña defiende la situación en la que un atacante ya ha comprometido la contraseña de un usuario una vez, pero no tiene un mecanismo para descubrir de qué se trata de manera continua (por ejemplo, keylogger)
Sin embargo, también hace que sea más difícil recordar las contraseñas, lo que hace más probable que los usuarios las anoten.
Como defender contra una contraseña ya comprometida no es realmente necesario (es de esperar), considero que la caducidad de la contraseña es inútil.
Haga que los usuarios elijan una contraseña segura para comenzar; Anímalos a recordarlo, luego no les pidas que lo cambien, o terminarán escribiéndolos en todas partes.
Si tiene un dispositivo que necesita garantías de seguridad de "alto a ultra alto", es mejor que use un token de hardware que genere contraseñas de un solo uso en lugar de confiar en que caduque la contraseña.
La principal "ganancia" para un sistema de caducidad de contraseña es que, eventualmente, tendrá una cuenta desactivada si el titular de la cuenta abandona la organización, como un "cheque y saldo" adicional a "la cuenta debe desactivarse cuando el titular de la cuenta hojas".
Hacer cumplir la caducidad de la contraseña conduce, en el mejor de los casos, a contraseñas de alta calidad escritas y, en el peor de los casos, a contraseñas incorrectas (en un lugar de trabajo anterior, una vez que nos vimos obligados a usar la caducidad de la contraseña, terminé usando (esencialmente) prefixJan2003, prefixFeb2003 y así activado, ya que mi método preferido para generar contraseñas (48 bits aleatorios, codificados en Base64) no se escala a "nuevas contraseñas cada mes").
Creo que si le hace esta pregunta a 10 profesionales de seguridad diferentes, obtendrá 10 respuestas diferentes.
Esto depende en gran medida de cuán crítico sea el activo que protege la contraseña.
Si tiene un activo altamente seguro, debe establecer su política de caducidad de contraseña lo suficientemente corta como para que cualquier intruso externo no tenga tiempo de forzar una contraseña. Otra variable en esta situación es qué nivel de complejidad se requiere en las contraseñas.
Para sistemas de seguridad baja a media, creo que una política de vencimiento de 6 meses es muy justa.
Para una seguridad de alto nivel, creo que un mes sería mejor, y para instalaciones 'ultra' seguras, se esperarían períodos de tiempo aún más cortos.
Aplicamos una caducidad de contraseña de 90 días para todos los presentes (incluidos nosotros mismos).
Principalmente porque son simplemente las mejores prácticas. Las posibilidades de que alguien use una contraseña "débil", en comparación con una contraseña más fuerte, es mayor y cuanto más tiempo la deje, posiblemente resulte en una violación de seguridad no detectada a largo plazo.
Vencimos las contraseñas anualmente y requerimos contraseñas seguras (preferiblemente aleatorias) de más de 10 caracteres. Ejecutamos ataques de diccionario en las contraseñas de las personas cuando las cambian. Mantenemos hashes de contraseñas anteriores para que las contraseñas no puedan reutilizarse. También verificamos las posibles fechas en la contraseña, como dijo vatine. ;) La última fue mi adición ...
En un trabajo anterior, intentamos expirar con más frecuencia a instancias de un nuevo administrador de seguridad de red, cada dos meses. Dos semanas después del primer cambio forzado, lo llevé a nuestras oficinas administrativas y buscamos debajo de los teclados y alfombrillas de la gente. Más del 50% de ellos tenían una contraseña escrita en un post-it debajo. Estaba contento de aflojar la política después de que nos sentamos y hablamos con el personal administrativo; su opinión era que no tenían suficiente tiempo para memorizar.
La mayoría de nuestras cosas en estos días es de inicio de sesión único en unos pocos silos. Los recursos del campus (rara vez se usan para la mayoría de las personas) están en un solo silo y esa contraseña es administrada por nuestro grupo central de TI. Los recursos departamentales (utilizados diariamente: inicio de sesión de la máquina, correo electrónico, edición del sitio web, fotocopiadora) es una contraseña administrada por nuestro grupo, que también expiró anualmente. Si las personas se quejan de estar frustradas, señalamos que realmente solo tienen una contraseña para recordar.
En estos días, genero un md5sum en un archivo aleatorio en / var / log y uso un subconjunto de eso para mis contraseñas.
Tuvimos muchas discusiones sobre esto hace un par de años cuando comenzamos una política de caducidad de contraseña. Acabábamos de terminar una carrera de l0phcract con tablas de arcoíris contra el árbol AD para ver qué tan malo era, y fue bastante horrible. Un número deslumbrante de usuarios todavía usaba su contraseña de "temp de servicio de asistencia" después de llamar / pasar por un restablecimiento de contraseña, algo horrible como el 30% de "contraseña" utilizada o alguna variante como contraseña (p @ $$ w0rd, etc.) . Eso convenció a la gerencia de que esto tenía que suceder.
Siendo una educación superior, tuvimos que lidiar con el verano al seleccionar un intervalo. Gran parte de nuestra facultad no enseña durante el verano, por lo que nuestro servicio de asistencia tuvo que prepararse para las llamadas "Olvidé mi contraseña", ya que todas regresan en septiembre. Creo, y puedo estar equivocado, que nuestro intervalo es de 6 meses con una excepción del trimestre de verano. Por lo tanto, si la caducidad de su contraseña de 6 meses caduca a mediados de agosto, se reprogramaría aleatoriamente para restablecerse a fines de septiembre hasta principios de octubre.
Una mejor pregunta es con qué frecuencia rotan su cuenta de servicios públicos y las contraseñas de administrador. Con demasiada frecuencia, estos parecen quedar exentos de las políticas de cambio de contraseña. ¿Quién quiere revisar todos esos scripts para cambiar la contraseña de una cuenta de utilidad? Y algunos sistemas de copia de seguridad dificultan el cambio de contraseñas usadas, lo que desincentiva el cambio de contraseñas de administrador.
Un problema importante con la expiración de la contraseña con frecuencia es que las personas tendrán dificultades para recordarlas, por lo que habrá personas que usen contraseñas débiles o similares, o si su política no lo permite, comenzarán a escribir las contraseñas para ayudar a recordarlas. . También tendrá más solicitudes de cambio de contraseña, cuando la gente las olvide.
Personalmente, depende de para qué se use la contraseña, pero tiendo a no mantener una contraseña por más de 3 meses, a menos que sea una cuenta desechable completa. Para cosas de mayor riesgo, cada mes más o menos es bueno, y cámbialo definitivamente si alguien más lo sabe. Debido a que trabajo en un pequeño negocio de soporte informático, tenemos múltiples contraseñas que se comparten entre muchas personas, por lo que no queremos cambiarlas muy a menudo, debido a la interrupción que puede causar.
Comentarios interesantes hasta ahora. Por supuesto, ¿por qué siempre se debate que recordar contraseñas es una cuestión de personal técnico versus no técnico en una empresa? ¿Qué tiene que ver la capacidad de alguien con el hardware / software de la computadora con su capacidad de tomarse en serio la seguridad? ¿Una persona no técnica entregará su número de tarjeta de crédito o de débito? Además, las personas que colocan contraseñas en notas adhesivas en su escritorio deben ser motivo de despido. Es sorprendente cómo mejorará la memoria de las personas cuando realmente se den cuenta de que la seguridad es importante y debe tomarse en serio. No veo diferente el papel de los códigos de vestimenta y las políticas de conducta en el trabajo. ¡Sigue las reglas o adiós!
Creo que tener una contraseña más segura es mucho más importante que cambiarla con frecuencia, pero ambas son definitivamente necesarias para un sistema seguro.
El argumento dice que las contraseñas complejas son difíciles de recordar y llevan a los empleados a escribirlas. Creo que esto es que la gran mayoría de los ataques provienen del exterior , e incluso escribir una contraseña compleja y pegarla en su monitor es más seguro que tener una contraseña simple memorizada.
Estoy implementando la autenticación basada en el token y el token de una sola vez, por lo que, en teoría, cada vez que el usuario inicia sesión.
Aunque esto podría decirse que está fuera de tema, una plataforma única parece ser una solución superior.
Del mismo modo, y más básicamente, garantizar que el usuario cree una contraseña segura y comprenda la ética detrás de su política de seguridad (no la escriba, no la cumpla años, no se la dé a nadie) será muy útil. más allá de simplemente obligarlos a cambiarlo cada enésimo intervalo de tiempo.