Je viens de recevoir un e-mail d'un fournisseur nous informant qu'il nous obligerait à changer notre mot de passe tous les six mois.Je suis curieux de voir quelles politiques d'expiration de mot de passe les gens utilisent et pourquoi ils les utilisent.
Réponses:
Il y a une frontière fine entre ne jamais le changer et le changer trop souvent. Avoir les mêmes mots de passe pendant des années n'est souvent pas une bonne solution, surtout s'il est accessible au public. Mais forcer une politique rigide de le changer trop souvent a aussi de mauvais effets secondaires. Un endroit où je travaillais, a forcé tous les utilisateurs du réseau interne à changer de mot de passe toutes les 6 semaines et le mot de passe ne pouvait pas être le même que les six mots de passe précédents. Trois mots de passe erronés ont verrouillé le poste de travail et le personnel informatique a dû le déverrouiller. Ce qui a amené tout le monde à écrire le mot de passe sur des notes Post-It accrochées à l'écran ou placées dans leur tiroir. Cauchemar.
Je dirais que changer le mot de passe tous les 6 mois devrait être suffisant. Cela évitera ces redoutables notes Post-It.
Je suggérerais d'utiliser un peu de calcul qui tient compte de la complexité minimale de votre mot de passe, de la vitesse à laquelle un attaquant pourrait deviner les mots de passe, du nombre de comptes déverrouillés dont vous disposez et de certaines informations informées sur vos risques.
J'espère que vous avez une sorte de limitation de débit pour la devinette des mots de passe. En règle générale, ce serait via quelque chose qui verrouille temporairement les comptes après un certain nombre de mauvais mots de passe.
Et j'espère que vous avez une sorte d'exigences de complexité de mot de passe afin que "A" et "mot de passe" ne soient pas autorisés.
Supposons qu'après 30 échecs de mot de passe en 10 minutes, vous verrouillez un compte pendant 20 minutes. Cela limite efficacement le taux de devinettes des mots de passe à 174 par heure, soit 4176 par jour. Mais supposons que c'est par utilisateur.
Supposons que vous ayez besoin de mots de passe de plus de 8 caractères contenant des chiffres supérieur, inférieur et un nombre, et que vous effectuez des vérifications de dictionnaire pour vous assurer que ces mots de passe sont raisonnablement aléatoires. Dans le pire des cas, vos utilisateurs mettent tous l'un en haut et un numéro au même endroit et votre attaquant le sait, vous avez donc 10 * 26 ^ 7 (80G) mots de passe possibles. Le meilleur cas est 62 ^ 8 (218T).
Ainsi, un attaquant essayant tous les mots de passe possibles les toucherait tous dans les 50 000 ans dans le pire des cas, et près de 600 millions de millénaires dans le meilleur des cas. Ou, pour le dire autrement, étant donné un an, ils auraient entre 1 sur 50 000 et 1 sur 52 000 000 000 de devinettes. Si vous avez une base d'utilisateurs de 50000, il est presque garanti que dans le pire des cas, ils accèderont à un compte par an et auront environ 50% de chances d'en obtenir un tous les 6 mois.
Et si vous n'aviez aucune limitation de débit et qu'un attaquant pourrait deviner un milliard de mots de passe par jour? Une chance sur 600 d'accéder à un compte en un an, ou une garantie virtuelle d'obtenir environ 80 de vos 50 000 utilisateurs chaque année.
Travaillez sur ce calcul et déterminez où se situe votre niveau de risque acceptable. Et rappelez-vous que plus vous le définissez court, plus il sera difficile pour les utilisateurs de se souvenir et plus ils seront susceptibles de le faire écrire dans un endroit pratique pour un attaquant sur place.
En prime: si quelqu'un essaie des milliers de mots de passe par utilisateur et par jour contre vos systèmes, j'espère vraiment que vous aurez une sorte de surveillance qui captera cela.
EDIT: J'ai oublié de mentionner: notre politique actuelle est de 90 jours, mais cela a tout à voir avec les conclusions d'auditeurs de sécurité mal avisés et rien à voir avec la réalité.
90 jours semblent être suffisants pour la plupart des scénarios. Ma plus grande préoccupation est la complexité des mots de passe. Plus que le problème de délai dans la génération de post-it, c'est la complexité forcée. C'est une chose d'éviter les mots du dictionnaire et une autre d'avoir des caractères spéciaux, mais lorsque vous commencez à dire qu'aucun caractère ne peut se répéter ou être dans l'ordre croissant / décroissant, vous avez rendu la vie de vos utilisateurs difficile. Ajoutez cela à une courte durée de vie du mot de passe et vous venez d'accueillir plus de problèmes.
L'expiration du mot de passe est ennuyeuse et réduit la sécurité.
L'expiration du mot de passe se défend contre la situation où un attaquant a déjà compromis le mot de passe d'un utilisateur, mais n'a pas de mécanisme pour savoir ce qu'il est en permanence (par exemple, enregistreur de frappe)
Cependant, il est également plus difficile de se souvenir des mots de passe, ce qui rend plus probable que les utilisateurs les écrivent.
Comme il n'est pas vraiment nécessaire de se défendre contre un mot de passe déjà compromis (vous l'espérez), je considère que l'expiration du mot de passe est inutile.
Demandez aux utilisateurs de choisir un mot de passe fort pour commencer; encouragez-les à s'en souvenir, puis ne les obligez jamais à le changer, sinon ils finiront par les écrire partout.
Si vous avez un appareil qui a besoin de garanties de sécurité "élevées à ultra élevées", il vaut mieux utiliser un jeton matériel qui génère des mots de passe à usage unique au lieu de compter sur l'expiration des mots de passe.
La principale «victoire» pour un système d'expiration de mot de passe est que vous aurez éventuellement un compte désactivé si le titulaire du compte quitte l'organisation, comme un «chèque et solde» supplémentaire à «le compte devrait être désactivé lorsque le titulaire du compte feuilles".
L'application de l'expiration des mots de passe conduit, au mieux, à des mots de passe de haute qualité écrits et, dans le pire des cas, à de mauvais mots de passe (sur un lieu de travail précédent, une fois que nous avons été obligés d'utiliser l'expiration des mots de passe, j'ai fini par utiliser (essentiellement) prefixJan2003, prefixFeb2003, etc.) sur, car ma méthode préférée de génération de mots de passe (48 bits aléatoires, encodés en Base64) ne s'adapte pas aux "nouveaux mots de passe chaque mois").
Je pense que si vous posez cette question à 10 professionnels de la sécurité différents, vous obtiendrez 10 réponses différentes.
Cela dépend en grande partie de l'importance du bien que le mot de passe protège.
Si vous disposez d'un actif hautement sécurisé, vous devez définir votre politique d'expiration de mot de passe suffisamment courte pour que tout intrus extérieur n'ait pas le temps de forcer brutalement un mot de passe. Une autre variable dans cette situation est le niveau de complexité requis sur les mots de passe.
Pour les systèmes à sécurité faible à moyenne, je pense qu'une politique d'expiration de 6 mois est très juste.
Pour une sécurité de haut niveau, je pense qu'un mois serait mieux - et pour des installations «ultra» sécurisées, des délais encore plus courts seraient attendus.
Nous imposons une expiration de mot de passe de 90 jours à tout le monde ici (y compris nous-mêmes).
Principalement parce que ce sont simplement les meilleures pratiques. Les chances que quelqu'un utilise un mot de passe "faible" par rapport à un mot de passe plus fort sont plus grandes et plus vous le laissez longtemps, cela pourrait entraîner une violation de la sécurité à long terme et non détectée.
Nous expirons les mots de passe chaque année et exigeons des mots de passe forts (de préférence aléatoires) de plus de 10 caractères. Nous exécutons des attaques par dictionnaire sur les mots de passe des gens lorsqu'ils les changent. Nous conservons les hachages de mot de passe antérieurs afin que les mots de passe ne puissent pas être réutilisés. Nous vérifions également les dates potentielles dans le mot de passe, comme l'a dit vatine. ;) Le dernier était mon ajout ...
Lors d'un ancien emploi, nous avons essayé d'expirer plus fréquemment à la demande d'un nouvel administrateur de sécurité réseau - tous les deux mois. Deux semaines après le premier changement forcé, je l'ai emmené dans nos bureaux administratifs et nous avons regardé sous les claviers et les tapis de souris des gens. Plus de 50% d'entre eux avaient un mot de passe écrit sur un post-it en dessous. Il était heureux d'assouplir la politique après que nous nous sommes assis et avons parlé au personnel administratif - leur opinion était qu'ils ne l'avaient pas assez longtemps pour mémoriser.
La plupart de nos activités de nos jours consistent en une authentification unique dans quelques silos. Les ressources du campus (rarement utilisées pour la plupart des gens) sont regroupées dans un seul silo et ce mot de passe est géré par notre groupe informatique central. Les ressources ministérielles (utilisées quotidiennement - connexion à la machine, courrier électronique, modification du site Web, photocopieur) sont un mot de passe géré par notre groupe, également arrivé à expiration chaque année. Si les gens se plaignent d'être frustrés, nous soulignons qu'ils n'ont vraiment qu'un seul mot de passe à retenir.
Ces jours-ci, je génère une somme md5 sur un fichier aléatoire dans / var / log et j'utilise un sous-ensemble de cela pour mes mots de passe.
Nous avons eu beaucoup de discussions à ce sujet il y a quelques années lorsque nous avons commencé une politique d'expiration des mots de passe. Nous venions de terminer une course l0phcract avec des tables arc-en-ciel contre l'arbre AD pour voir à quel point c'était mauvais, et c'était assez horrible. Un nombre impressionnant d'utilisateurs ont toujours utilisé leur mot de passe "helpdesk temp" après avoir appelé / abandonné pour une réinitialisation de mot de passe, quelque chose d'horrible comme 30% a utilisé "mot de passe" ou une variante comme mot de passe (p @ $$ w0rd, etc.) . Cela a convaincu la direction que cela devait se produire.
En étant plus éduqués, nous avons dû affronter l'été lors de la sélection d'un intervalle. Beaucoup de nos professeurs n'enseignent pas pendant l'été, donc notre service d'assistance a dû se préparer pour les appels "J'ai oublié mon mot de passe" car ils reviennent tous en septembre. Je pense, et je me trompe peut-être, que notre intervalle est de 6 mois à l'exception du trimestre d'été. Donc, si l'expiration de votre mot de passe 6mo expire à la mi-août, il serait reprogrammé au hasard pour être réinitialisé de fin septembre à début octobre.
Une meilleure question est de savoir à quelle fréquence votre compte utilitaire et vos mots de passe administrateur sont tournés. Trop souvent, ceux-ci semblent être exemptés des politiques de changement de mot de passe. Qui veut parcourir tous ces scripts pour un changement de mot de passe de compte utilitaire? Et certains systèmes de sauvegarde rendent difficile le changement des mots de passe utilisés, ce qui dissuade de changer les mots de passe administrateur.
Un problème majeur avec l'expiration fréquente des mots de passe est que les gens auront du mal à s'en souvenir, donc vous aurez des gens qui utilisent des mots de passe faibles ou similaires, ou si votre politique ne le permet pas, ils commenceront à écrire les mots de passe pour aider à les mémoriser . Vous aurez également plus de demandes de changement de mot de passe, lorsque les gens les oublieront.
Personnellement, cela dépend de l'utilisation du mot de passe, mais j'ai tendance à ne pas conserver un mot de passe plus de 3 mois, sauf s'il s'agit d'un compte jetable complet. Pour les choses à risque plus élevé, chaque mois est bon, et changez-le avec défi si quelqu'un d'autre qui le sait s'en va. Étant donné que je travaille dans une petite entreprise de support informatique, nous avons plusieurs mots de passe partagés entre de nombreuses personnes, nous ne voulons donc pas les changer très souvent, en raison des perturbations que cela peut provoquer.
Commentaires intéressants jusqu'à présent. Bien sûr, pourquoi est-il toujours débattu que la mémorisation des mots de passe est un problème technique par rapport au personnel non technique dans une entreprise? Qu'est-ce que la capacité de quelqu'un avec du matériel / logiciel informatique a quelque chose à voir avec sa capacité à prendre la sécurité au sérieux? Une personne non technique donnera-t-elle son numéro de carte de crédit ou de débit? En outre, les personnes qui placent des mots de passe sur des post-it sur leur bureau devraient être des motifs de licenciement. C'est incroyable de voir comment la mémoire des gens s'améliorera lorsqu'ils se rendront compte que la sécurité est importante et doit être prise au sérieux. Je ne vois pas différent du rôle des codes vestimentaires et des politiques de conduite au travail. Suivez les règles ou au revoir!
Je pense qu'avoir un mot de passe plus sécurisé est beaucoup plus important que de le changer fréquemment, mais les deux sont absolument nécessaires pour un système sécurisé.
L'argument est que les mots de passe complexes sont difficiles à retenir et conduisent les employés à les écrire. Ma conviction à ce sujet est que la grande majorité des attaques proviennent de l'extérieur , et même écrire un mot de passe complexe et le coller sur votre moniteur est plus sûr que d'avoir un simple mot de passe mémorisé.
J'implémente une authentification ponctuelle et basée sur des jetons temporels, donc, en théorie, chaque fois que l'utilisateur se connecte.
Bien que cela soit sans doute hors sujet, un bloc-notes unique semble être une solution supérieure.
De même, et plus fondamentalement, s'assurer que l'utilisateur crée un mot de passe fort et comprend l'éthique derrière votre politique de sécurité (ne l'écrivez pas, ne faites pas votre anniversaire, ne le donnez à personne) ira beaucoup plus loin que de simplement les forcer à le changer tous les n intervalles de temps.