it-swarm-id.com

Bagaimana cara mengubah kata sandi Anda setiap 90 hari meningkatkan keamanan?

Di mana saya bekerja, saya dipaksa untuk mengubah kata sandi saya setiap 90 hari. Tindakan keamanan ini telah diterapkan di banyak organisasi selama yang saya ingat. Apakah ada kerentanan atau serangan keamanan khusus yang dirancang untuk dilawan, atau apakah kita hanya mengikuti prosedur karena "memang selalu seperti itu"?

Sepertinya mengubah kata sandi hanya akan membuat saya lebih aman jika seseorang sudah ada di akun saya.

Pertanyaan ini adalah Pertanyaan Keamanan IT Minggu Ini.
Baca 15 Juli 2011 entri blog untuk lebih jelasnya atau kirim milik Anda sendiri Pertanyaan dalam Pekan.

576
Bill the Lizard

Ketika pengguna Anda adalah manusia, itu tidak selalu meningkatkan keamanan.
Lihat posting FTC " Waktu untuk memikirkan kembali perubahan kata sandi wajib " oleh Chief Technologist Lorrie Cranor, berdasarkan pada penelitian tentang bagaimana manusia benar-benar menggunakan sistem ini (cakupan Washington Post di sini .)

Juga, seperti yang dibahas dalam blog keamanan SANS , "Salah satu pedoman utama untuk mengubah perilaku adalah [untuk] fokus pada perilaku paling sedikit yang menangani risiko terbesar." Biaya yang diperlukan untuk perubahan kata sandi lebih baik dihabiskan untuk mengajar pengguna menggunakan kata sandi yang kuat dan unik, dan/atau pengelola kata sandi/otentikasi multifaktor. Selain itu, manfaat dari perubahan kata sandi telah menurun sekarang karena serangan dapat dan sering kali terjadi jauh lebih cepat daripada serangan manual yang panjang dan lambat yang dapat dihentikan oleh perubahan kata sandi.

4
WBT

Saya pribadi tidak berpikir bahwa menerapkan kata sandi kedaluwarsa pada pengguna kantor (atau, orang yang hampir tidak terbiasa dengan penggunaan komputer, apalagi keamanan cyber) adalah ide yang baik dalam bentuk seperti yang dilakukan di banyak organisasi. Seperti yang disebutkan di atas, kelemahan keamanan utama dalam kasus ini adalah bahwa pengguna kantor yang sama hanya menulis kata sandi mereka pada catatan tempel dan menempelkannya ke layar mereka atau menempelkannya di meja mereka. Atau, jika orang itu sedikit lebih "maju", mereka mungkin mulai menggunakan kata sandi seperti letmeinMONTHYEAR.

Meskipun demikian, kedaluwarsa kata sandi berkala adalah hal yang baik, setelah itu ditambah dengan manajemen kata sandi yang tepat. Jelas sebagian besar orang (tidak mengerti) tidak akan dapat mengingat kata sandi yang benar-benar aman - sesuatu seperti v^i77u*UNoMTYPGAm$. Jadi apa yang harus kita lakukan?

Saya pribadi menggunakan pengelola kata sandi yang melacak semua kata sandi saya, kecuali satu, kata sandi utama. Ini benar-benar menyederhanakan dan membuatnya menjadi lebih aman (asalkan kata sandi utama saya aman dengan sendirinya dan saya dapat dengan mudah menceritakannya untuk masuk ke pengelola kata sandi.) Ada beberapa pengelola kata sandi komersial, yang akan saya biarkan Anda temukan dan uji untuk dirimu sendiri Saya pribadi menggunakan Lastpass yang gratis untuk penggunaan umum dan aman. Ini tersedia melalui browser web dan dapat juga diinstal sebagai aplikasi di ponsel cerdas atau tablet Anda. Mengenai masalah keamanan karena membiarkan solusi pihak ketiga mengelola semua kata sandi Anda, saya mengandalkan pemeriksaan yang dilakukan oleh Steve Gibson. Anda dapat menonton versi lengkapnya di sini .

4
MikeF

Jika kata sandi yang kuat dan kuat digunakan, kata sandi itu tidak berlaku. Kata sandi mungkin perlu diubah secara teratur jika pada akhirnya dapat di-crack offline jika penyerang telah berhasil mengekstrak hash dari database. Namun, menerapkan perubahan kata sandi tampaknya merupakan bentuk keamanan yang lemah ketika pengguna harus didorong untuk memilih kata sandi yang kuat, misalnya berdasarkan frasa sandi yang panjang.

Tanpa dididik tentang keamanan kata sandi, sebagian besar pengguna tidak akan memilih kata sandi yang kuat sehingga batas perubahan 90 hari dirancang untuk melindungi akun ini. Karena para pengguna ini tidak mengerti atau tidak peduli dengan keamanan akun mereka, mereka cenderung memilih kata sandi lain yang lemah yang mungkin didasarkan pada kata sandi lama mereka (yang berarti seorang penyerang dapat memecahkan yang lama dan kemudian menggunakan variasi itu dalam serangan online) . Menggunakan kebijakan 90 hari dalam kombinasi memeriksa kesamaan kata sandi baru dengan kata sandi lama dapat dianggap membantu. Kata sandi pengguna lain akan lebih sulit untuk dipecahkan, meskipun jika waktu yang cukup didedikasikan oleh penyerang, ini sepenuhnya mungkin - kata sandi apa pun dengan kekuatan di bawah 128 bit entropi berarti bahwa ia kemungkinan akan di-crack pada akhirnya, meskipun kecuali penyerang secara khusus tertarik pada akun tertentu, ini memiliki kemungkinan kejadian yang sangat rendah.

Alasan yang mungkin baik untuk mengubah kata sandi adalah bahwa pengguna akan sering menyimpan kata sandi di tempat yang tidak aman. Misalnya, fungsionalitas pelengkapan otomatis browser mungkin mengingat kata sandi di komputer teman. Namun, ini tidak penting.

Inilah sebabnya mengapa dipandang sebagai praktik yang baik untuk sering mengubahnya. 90 hari melayani untuk penyebut umum terendah. Setiap pengguna yang menggunakan kata sandi kuat yang dihasilkan menggunakan generator kata sandi akan memiliki kerumitan minimal bagi mereka untuk kemudian mengubah kata sandi mereka sehingga kebijakan ini seharusnya tidak menyebabkan masalah yang signifikan. Saya dapat memahami pengguna dengan banyak akun dengan kebijakan ini akan merasa terganggu.

Alasan lebih lanjut untuk sering mengubah kata sandi Anda adalah bahwa algoritma penyimpanan kata sandi seperti bcrypt dan fungsi derivasi kunci lainnya memiliki jumlah iterasi, yang dapat ditingkatkan untuk meningkatkan faktor kerja seperti Hukum Moore bertahan. Memasukkan kata sandi baru memberi peluang bagi hash kata sandi untuk disimpan ulang dengan lebih banyak iterasi, atau bahwa keseluruhan algoritma hashing diperbarui ketika postur keamanan sistem meningkat. Misalnya, jika situs tersebut awalnya menyimpan kata sandi teks-bersih, kemudian dimigrasikan ke SHA-1, lalu SHA-1 dengan garam, lalu pada akhirnya bcrypt, tindakan mengubah kata sandi sering digunakan sebagai kesempatan untuk memperbarui format yang disimpan untuk pengguna ini. dalam database.

Perhatikan bahwa perubahan kata sandi tidak diperlukan secara teknis, hanya saja banyak sistem akan menulis ulang kata sandi untuk disimpan pada saat ini, namun mereka juga dapat melakukan ini setelah berhasil masuk karena kata sandi cleartext juga akan tersedia pada saat ini. Memaksa perubahan kata sandi akan membantu dalam hal ini, dan juga memiliki keuntungan bahwa jika ada kerentanan kebocoran kata sandi yang belum ditemukan di situs (mis. Injeksi SQL) maka kata sandi akan diubah menjadi sesuatu yang lebih aman serta format hashing menjadi diperbarui. Perhatikan bahwa pemaksaan perubahan kata sandi tidak membantu memperbarui akun yang tidak aktif, itulah sebabnya beberapa standar menentukan bahwa akun tidak aktif dinonaktifkan setelah periode waktu tertentu (mis. PCI setelah 90 hari) - jika kata sandi juga disimpan dalam beberapa format dalam DB itu juga disarankan agar ini kosong jika pengguna telah menggunakannya kembali di tempat lain dan kemudian dibocorkan.

3
SilverlightFox

Saya cenderung setuju bahwa ini terutama merupakan persyaratan yang digerakkan oleh kepatuhan dengan peningkatan keamanan marjinal terbaik (pada, sayangnya, biaya besar dalam hilangnya ketersediaan operasional, karena pengguna yang sah dikunci setelah 90 hari, mesin -komunikasi ke mesin gagal karena kata sandi mereka kedaluwarsa dan tidak ada yang memperbaruinya, panggilan ke Help Desk untuk menyelesaikan masalah pengaturan ulang kata sandi dan sebagainya).

Yang telah dikatakan, ada alasan yang sah untuk menegakkan kebijakan seperti itu (meskipun - pembenaran ini sangat berkurang oleh periode validitas yang relatif panjang untuk kata sandi tertentu ... setelah semua jika penjahat cyber mendapatkan kata sandi Anda selama 90 hari, ada banyak kerusakan yang bisa dia lakukan).

Keuntungan terbesar datang dalam skenario berikut:

  1. Anda diretas atau dikompromikan, dan si penjahat cyber menemukan nama pengguna dan kata sandi Anda.

  2. Kebetulan mendekati periode perubahan "ambang batas" (biasanya - akhir kuartal, dan jangan berpikir penjahat cyber tidak tahu itu).

  3. Anda diminta untuk mengubah kata sandi "lama" Anda (yang Anda dan si penjahat cyber tahu).

  4. Anda mengikuti kebijakan Perusahaan dan mengubah kata sandi Anda, artinya sekarang si penjahat cyber terkunci lagi. Dia dapat mencoba menggunakan metode yang sama seperti sebelumnya, untuk mendapatkan akses tidak sah ke kredensial ini juga ... tetapi melakukan hal itu mungkin mengganggu dan memakan waktu.

Intinya di sini adalah, "mengubah kata sandi seseorang menjadi sesuatu yang baru", bukan sesuatu yang biasanya dilakukan oleh penjahat cyber, karena dari sudut pandangnya (kecuali, tentu saja, kata sandi Pembajak benar-benar semacam Penolakan). serangan of-Service), mengubah kata sandi dan mengunci pemilik (asli) yang sah dari akun, akan segera memberi tahu pengguna yang sah bahwa sesuatu yang tidak diinginkan, sedang terjadi.

Ini di atas fakta bahwa para penjahat cyber biasanya membajak ribuan kata sandi sekaligus; mengubah semua ini, terutama karena mereka mungkin tidak memiliki akses ke sistem back-end yang diatur untuk memungkinkan pengguna yang sah untuk melakukan ini, dapat menjadi tugas yang berat.

Tidak satu pun dari yang tertulis di atas mengabaikan fakta bahwa penjahat cyber biasanya akan membuat akun mereka sendiri, akun istimewa, saat mereka mendapatkan akses tidak sah ke sistem Anda, atau dimaksudkan untuk mengabaikan kelemahan potensial lainnya dalam "90 hari wajib" kata sandi "paradigma yang begitu lazim akhir-akhir ini. Pikirkan aturan ini sebagai salah satu elemen (minor) dalam strategi pertahanan berlapis Anda, dan Anda akan melihat bahwa itu memiliki tempat ... tetapi itu jelas bukan sesuatu yang harus Anda andalkan, untuk mencegah orang jahat keluar.

3
user53510