En varios casos, descubrí que obligar a los usuarios a cambiar su contraseña de forma regular se convierte en una carga para el mantenimiento en lugar de una ayuda para la seguridad. Además, he visto a los usuarios escribir sus nuevas contraseñas, ya que no tienen suficiente tiempo para recordar sus contraseñas y no pueden molestarse en volver a aprender otra.
¿Qué beneficio de seguridad hay para forzar un cambio en las contraseñas?
Respuestas:
Aquí hay una versión diferente del diario SANS:
Reglas de contraseña: cámbielas cada 25 años.
Hay un beneficio práctico. Si alguien tiene su contraseña, y todo lo que quiere es leer su correo electrónico y permanecer sin ser detectado, puede hacerlo para siempre, a menos que finalmente cambie su secreto de inicio de sesión. Por lo tanto, cambiar la contraseña regularmente no ayuda mucho a que alguien entre y se meta con sus productos, pero sí le da la oportunidad de sacudirse a cualquier acosador o fisgón que pueda tener acceso a su cuenta. Si esto está bien. Pero si este beneficio solo vale la molestia y las desventajas mencionadas de obligar a los usuarios a cambiar su contraseña cada 90 días, tengo mis dudas.
Fuerce un cambio de contraseña cuando lo adivine (ejecutando un programa de adivinación de contraseña en todos sus usuarios todo el tiempo).
Es difícil discutir con "tienes que cambiar tu contraseña" cuando la respuesta a "¿por qué?" es "porque pudimos adivinarlo a ciegas". Recompensa automáticamente a aquellos que eligen contraseñas difíciles de adivinar y les enseña a los usuarios qué contraseñas son débiles. Si eligen "contraseña1", caducará antes de que puedan iniciar sesión una vez. Si un usuario elige una contraseña alfanumérica aleatoria, de mayúsculas y minúsculas de 16 caracteres, nunca la adivinará, y nadie más lo hará. Permítales que lo conserven por mucho tiempo, e incluso podrán memorizarlo.
Es una compensación. Requerir cambios frecuentes de contraseña da como resultado contraseñas de menor calidad. Incluso ha habido investigaciones en este sentido.
Dicho esto, la única forma confiable que he encontrado para evitar que los usuarios compartan contraseñas es exigir cambios periódicos de contraseña. Mi experiencia muestra que 90 días parece ser un compromiso decente entre usabilidad y seguridad. Si pasa más tiempo, las personas comienzan a confiar en contraseñas compartidas, antes y terminan con "November09", "December09".
Lo peor de forzar un cambio en las contraseñas no es que realmente estés causando que las personas cambien sus contraseñas. Es que generalmente viene con poca o ninguna advertencia, y se ven inmediatamente con un problema que deben resolver de inmediato, por lo que en lugar de darle tiempo a alguien para pensar una buena contraseña, es más probable que sea una menos segura pero más fácil de recordar, o más seguro, pero simplemente se anota, lo que niega la ventaja de seguridad.
Si las contraseñas son de suficiente complejidad para que no sean fáciles de adivinar, y no se comparten entre los sistemas, y es poco probable que se haya visto comprometida, entonces cambiar una contraseña probablemente no sea tan importante.
Sin embargo, si ocurre alguno de estos, y los dos primeros son probablemente más comunes que no, obligar a las personas a cambiar la contraseña periódicamente significa que es menos probable que compartan las contraseñas, al menos.
Dicho esto, elegiría educar a sus usuarios sobre lo que significa una buena contraseña y por qué es muy malo compartirla. Anotarlos es común sin importar lo que hagas.
Recomiendo a las personas que elijan una contraseña de un libro que conocen, recordando alguna cita que no les sea tan familiar o inventando una frase. Use la primera letra de cada palabra y agregue dos números dentro de alguna parte. La mayoría de la gente puede recordar eso después de haberlo escrito varias veces.
No veo ningún beneficio en esa práctica en absoluto.
La contraseña segura es mucho más importante. Por fuerte quiero decir 9+ símbolos alfanuméricos + especiales, o una contraseña / frase de 15+ [az] que no es del diccionario (esto se basa en un estudio reciente del costo de las contraseñas de fuerza bruta usando el EC2 de Amazon).
Los sistemas de acceso remoto deben tener software de detección y prevención de fuerza bruta (por ejemplo, fail2ban) en todos los servicios expuestos. Esto es mucho más importante, IMO, que la política regular de cambio de contraseña.
El problema básico es que las contraseñas, como mecanismo de seguridad, apestan.
Si le pide a la gente que los cambie con frecuencia, ellos los escriben. Si les pide que usen contraseñas de 30 letras con al menos 3 números, 4 letras mayúsculas y un carácter de control, las olvidan o las escriben o hacen otras cosas tontas. Si son simples, los usuarios usarán una contraseña estúpida como bunny7 o Bunny7. Y usarán la misma contraseña incorrecta para todo, incluida su cuenta de pornografía y su cuenta de hotmail.
Me gustan las herramientas como Mobile OTP , que permiten a los usuarios usar su teléfono celular como una herramienta de autenticación de dos factores.
A largo plazo, es probable que aterricemos de alguna manera en un mundo con certificados encriptados como mecanismo de identificación del usuario. Cosas como OpenID y CAS simplifican la autenticación del usuario y permiten un inicio de sesión único conveniente.
A largo plazo, la mejor opción es reducir la cantidad de veces que los usuarios necesitan emitir credenciales: deshacerse de la contraseña "HR" y la contraseña de "hoja de tiempo" y la contraseña "CRM". Unifíquelos en una infraestructura de autenticación común que requiera que los usuarios emitan sus credenciales una vez. Luego pídales que usen algo como MobileOTP o un RSA SecurID que use autenticación de dos factores.
A corto plazo, las políticas de contraseña serán el tema de las guerras religiosas. Simplemente haga lo que su jefe le pida, y si usted es el jefe, use su criterio en función de su base de usuarios y el perfil de seguridad esperado.
¡Buena suerte!
Esta práctica, que no es del todo inútil, fue mucho más importante hace mucho tiempo. Debatir esta política es en realidad contraproducente, ya que desvía la atención de las amenazas actuales que son mucho más graves.
Considerar:
Si usa Windows / AD y una cuenta no tiene marcada la casilla "La cuenta es confidencial y no se puede delegar", esa cuenta se puede usar mediante suplantación y no se requiere contraseña. El código para hacer esto es trivial.
Si la estación de trabajo de Windows de una persona se ve comprometida por una vulnerabilidad de seguridad, su token de seguridad de Windows en memoria se puede usar para acceder a otras computadoras. Nuevamente, no se requiere contraseña.
La segunda, por cierto, es la razón por la que solo debe acceder a los servidores utilizando una cuenta que sea diferente de su cuenta de usuario habitual diaria. También tenga en cuenta que ambos escenarios derrotan por completo incluso los mecanismos de autenticación de dos factores más robustos.
Lo mejor que podría ocurrir con respecto a la seguridad de la contraseña es dejar de debatirla y centrarse en las amenazas más contemporáneas y graves.
Más información:
Echa un vistazo a la presentación de Luke Jennings, "Una ficha para gobernarlos a todos":
http://eusecwest.com/esw08/esw08-jennings.pdf
Insomnia Shell: ejemplo del código requerido para comprometer los tokens en un servidor ASP.Net:
http://www.insomniasec.com/releases/tools
Cómo: Usar la transición de protocolo y la delegación restringida en ASP.NET 2.0
http://msdn.microsoft.com/en-us/library/ms998355.aspx
Busque "sin contraseña".
Cuanto más tiempo permanezca sin cambios una contraseña, más probable será que se vea comprometida, simplemente porque habrá más oportunidades para que ocurran situaciones en las que puede verse comprometida (dado un tiempo infinito, todo es posible). También hace que sea más difícil cambiar en el futuro, ya que el usuario se habrá acostumbrado al anterior. Otro riesgo es que si se ve comprometido y el usuario desconoce el hecho, existe la posibilidad de que se produzca un mal uso continuo y serio de la cuenta del usuario. Los cambios periódicos al menos mitigarán eso ya que el próximo cambio de contraseña forzado hará que la contraseña comprometida sea inútil.
En mi experiencia, el escenario más probable para que los usuarios escriban contraseñas es la falta de pensamiento conjunto en su infraestructura de seguridad, como tener múltiples sistemas diferentes, todos los cuales requieren su propio combo de nombre de usuario y contraseña únicos. Lanza 5 de esos a un usuario y obtendrás un síndrome de nota adhesiva amarilla con venganza.
Una política de contraseña razonable que permite a los usuarios elegir contraseñas fáciles de recordar pero difíciles de descifrar, junto con una buena educación del usuario, una autenticación integrada sólida y políticas de bloqueo y caducidad decentes, todo respaldado por un AUP que prohíbe explícitamente el intercambio de contraseñas, es la mejor manera.
Si está almacenando en caché las credenciales (que la mayoría de la gente hace por disponibilidad), entonces esto es imprescindible. Si una computadora es robada físicamente y se habilita el almacenamiento en caché de credenciales, entonces el ladrón puede forzar a la máquina a salir de la red sin temor a que se active la política de bloqueo de cuenta. Luego tienen credenciales válidas para los recursos de su red. Cambiar estas contraseñas a intervalos regulares puede ayudar a minimizar este daño.
Esta es la razón exacta por la que nunca inicia sesión con una cuenta privilegiada, siempre inicia sesión como usuario limitado y eleva las indicaciones individuales, esto evita que las credenciales privilegiadas sean forzadas en caso de robo / robo.
Estoy en el campo de nunca requerir cambios de contraseña. O como dice el artículo, cada 25 años, sí, estaré muerto entonces. Bueno. He aquí por qué ... Tengo 12 contraseñas para recordar en mi trabajo. La mayoría de ellos cambian y los que cambian están en horarios totalmente diferentes. Todos tienen diferentes requisitos de resistencia. ¿Cómo puede un humano débil hacer frente a esto? He visto varias formas: escríbalas en una pizarra blanca. Escríbalos en un papel y guárdelos en un cajón desbloqueado. o mi método preferido: almacenarlos en una hoja de cálculo de documentos de Google bastante insegura. No hay forma de convencerme de que ninguno de estos métodos (que son MUY comunes) no compensa totalmente ningún pequeño beneficio de seguridad obtenido al requerir cambios.
Tengo tiempo para escribir esta publicación porque estoy esperando que alguien en el soporte de TI desbloquee una de mis cuentas. Aparentemente no actualicé mi hoja de cálculo correctamente la última vez. ¿Hay algún estudio que calcule los MIL MILLONES de dólares perdidos por estas tonterías?