J'ai trouvé dans plusieurs cas, obliger les utilisateurs à changer leur mot de passe régulièrement devient plus une pression sur la maintenance plutôt qu'une aide à la sécurité. De plus, j'ai vu des utilisateurs écrire leurs nouveaux mots de passe car ils n'ont pas assez de temps pour se souvenir de leurs mots de passe et ne peuvent pas être dérangés de réapprendre un autre.
Quel avantage de sécurité y a-t-il à forcer un changement de mot de passe?
Réponses:
Voici une prise différente du journal SANS:
Règles de mot de passe: changez-les tous les 25 ans
Il y a un avantage pratique. Si quelqu'un a votre mot de passe, et tout ce qu'il veut, c'est lire votre e-mail et ne pas être détecté, il peut le faire pour toujours, à moins que vous ne changiez éventuellement votre secret de connexion. Ainsi, changer régulièrement le mot de passe n'aide pas beaucoup contre quelqu'un qui s'introduit et s'enfuit avec vos biens, mais cela vous donne la possibilité de secouer les harceleurs ou les espions que vous pourriez avoir accès à votre compte. Oui c'est bon. Mais si cet avantage vaut à lui seul les inconvénients et les inconvénients mentionnés de forcer les utilisateurs à changer leur mot de passe tous les 90 jours, j'ai des doutes.
Forcer un changement de mot de passe lorsque vous le devinez (en exécutant un programme de devinette de mot de passe sur tous vos utilisateurs tout le temps).
Il est difficile de discuter avec "vous devez changer votre mot de passe" lorsque la réponse à "pourquoi?" est "parce que nous avons pu le deviner aveugle". Il récompense automatiquement ceux qui choisissent des mots de passe difficiles à deviner et enseigne à vos utilisateurs quels mots de passe sont faibles. S'ils choisissent "mot de passe1", il expirera avant de pouvoir se connecter une fois. Si un utilisateur choisit un mot de passe alphanumérique aléatoire à 16 caractères et à casse mixte, vous ne le devinerez jamais - et personne d'autre non plus. Laissez-les le garder très longtemps, et ils pourront même le mémoriser.
C'est un compromis. Le fait d'exiger des changements de mot de passe fréquents entraîne des mots de passe de qualité inférieure. Il y a même eu des recherches à cet effet.
Cela étant dit, le seul moyen fiable que j'ai trouvé pour empêcher les utilisateurs de partager des mots de passe est d'exiger des changements de mot de passe périodiques. Mon expérience montre que 90 jours semblent être un compromis décent entre convivialité et sécurité. Si vous allez plus longtemps, les gens commencent à compter sur des mots de passe partagés - plus tôt et vous vous retrouvez avec "November09", "December09".
La pire chose à propos de forcer un changement de mot de passe n'est pas que vous incitez réellement les gens à changer leurs mots de passe. C'est que généralement, il est accompagné de peu ou pas d'avertissement, et ils sont immédiatement frappés par un problème qu'ils doivent résoudre immédiatement, donc au lieu de donner à quelqu'un le temps de réfléchir à un bon mot de passe, il est plus probable qu'il soit moins sécurisé. mais plus facile à retenir ou plus sûr, mais il est simplement écrit, annulant ainsi l'avantage de sécurité.
Si les mots de passe sont d'une complexité suffisante pour ne pas être facilement devinables et ne sont pas partagés entre les systèmes, et il est peu probable qu'ils aient été compromis, la modification d'un mot de passe n'est probablement pas si importante.
Cependant, si l'un de ces événements se produit, et les deux premiers sont probablement plus courants qu'improbables, le fait de forcer les gens à changer périodiquement le mot de passe signifie qu'ils sont moins susceptibles de partager des mots de passe, au moins.
Cela dit, je choisirais d'éduquer vos utilisateurs sur ce que signifie un bon mot de passe et pourquoi il est très mauvais de les partager. Les noter est courant, peu importe ce que vous faites.
Je recommande aux gens de choisir un mot de passe dans un livre qu'ils connaissent, en se souvenant d'une citation moins familière ou en créant une phrase. Utilisez la première lettre de chaque mot et ajoutez quelque part deux chiffres à l'intérieur. La plupart des gens se souviennent de cela après l'avoir tapé plusieurs fois.
Je ne vois aucun avantage à cette pratique.
Un mot de passe fort est beaucoup plus important. Par fort, je veux dire soit 9+ caractères alphanumériques + symboles spéciaux, soit un mot de passe / expression de 15+ [az] uniquement non dictionnaire (ceci est basé sur une étude récente du coût de la brutalisation des mots de passe en utilisant EC2 d'Amazon).
Les systèmes accessibles à distance doivent disposer d'un logiciel de détection et de prévention de bruteforce (par exemple, fail2ban) sur tous les services exposés. C'est beaucoup plus important, OMI, que la politique de changement de mot de passe habituelle.
Le problème de base est que les mots de passe, en tant que mécanisme de sécurité, puent.
Si vous demandez aux gens de les changer souvent, ils les notent. Si vous leur demandez d'utiliser des mots de passe de 30 lettres avec au moins 3 chiffres, 4 lettres majuscules et un caractère de contrôle, ils les oublient ou les écrivent ou font d'autres bêtises. S'ils sont simples, les utilisateurs utiliseront un mot de passe stupide comme bunny7 ou Bunny7. Et ils utiliseront le même mauvais mot de passe pour tout, y compris leur compte porno et leur compte hotmail.
J'aime les outils comme Mobile OTP , qui permettent aux utilisateurs d'utiliser leur téléphone portable comme un outil d'authentification à deux facteurs.
À long terme, il est probable que nous atterrirons en quelque sorte dans un monde avec des certificats cryptés comme mécanisme d'identification de l'utilisateur. Des choses comme OpenID et CAS simplifient l'authentification des utilisateurs et permettent une connexion unique pratique.
À long terme, le meilleur pari est de réduire le nombre de fois où les utilisateurs doivent émettre des informations d'identification - se débarrasser du mot de passe "HR" et du mot de passe "feuille de temps" et du mot de passe "CRM". Unifiez-les dans une infrastructure d'authentification commune qui oblige les utilisateurs à émettre leurs informations d'identification une fois. Demandez-leur ensuite d'utiliser quelque chose comme MobileOTP ou un RSA SecurID qui utilise l'authentification à deux facteurs.
À court terme, les politiques de mot de passe vont être le sujet des guerres de religion. Faites simplement ce que votre patron vous demande, et si vous êtes le patron, utilisez votre jugement en fonction de votre base d'utilisateurs et de votre profil de sécurité attendu.
Bonne chance!
Cette pratique, qui n'est pas totalement inutile, était bien plus importante depuis longtemps. Débattre de cette politique est en fait contre-productif, car il détourne l'attention des menaces actuelles qui sont beaucoup plus graves.
Considérer:
Si vous utilisez Windows / AD et qu'un compte n'a pas la case à cocher «Le compte est sensible et ne peut pas être délégué», ce compte peut être utilisé via l'emprunt d'identité et aucun mot de passe n'est requis. Le code pour ce faire est trivial.
Si le poste de travail Windows d'une personne est compromis par une vulnérabilité de sécurité, son jeton de sécurité Windows en mémoire peut être utilisé pour accéder à d'autres ordinateurs. Encore une fois, aucun mot de passe n'est requis.
Soit dit en passant, c'est la deuxième raison pour laquelle vous ne devez accéder aux serveurs qu'en utilisant un compte différent de votre compte utilisateur ordinaire quotidien. Notez également que les deux scénarios défont complètement même les mécanismes d'authentification à deux facteurs les plus robustes.
La meilleure chose qui puisse se produire en ce qui concerne la sécurité des mots de passe est de cesser d'en débattre et de se concentrer sur les menaces plus contemporaines et graves.
Plus d'information:
Découvrez la présentation de Luke Jennings, "Un jeton pour les gouverner tous":
http://eusecwest.com/esw08/esw08-jennings.pdf
Insomnia Shell - exemple du code requis pour compromettre les jetons sur un serveur ASP.Net:
http://www.insomniasec.com/releases/tools
Comment: utiliser la transition de protocole et la délégation contrainte dans ASP.NET 2.0
http://msdn.microsoft.com/en-us/library/ms998355.aspx
Recherchez «sans mot de passe».
Plus un mot de passe reste inchangé, plus il est susceptible d'être compromis, simplement parce qu'il y aura plus de possibilités de situations dans lesquelles il peut être compromis (étant donné un temps infini, tout est possible). Il est également plus difficile de changer à l'avenir, car l'utilisateur se sera habitué à l'ancien. Un autre risque est que s'il est compromis et que l'utilisateur n'est pas conscient du fait qu'il existe un risque d'utilisation abusive grave et continue du compte de l'utilisateur. Des changements périodiques atténueront au moins cela, car le prochain changement de mot de passe appliqué rendra le mot de passe compromis inutile.
D'après mon expérience, le scénario le plus susceptible d'amener les utilisateurs à écrire des mots de passe est un manque de réflexion commune dans votre infrastructure de sécurité, comme avoir plusieurs systèmes différents qui nécessitent tous leur propre nom d'utilisateur et mot de passe combinés. Jetez 5 de ceux-ci à un utilisateur et vous obtiendrez un syndrome de note collante jaune avec une vengeance.
Une politique de mot de passe raisonnable qui permet aux utilisateurs de choisir des mots de passe faciles à retenir mais difficiles à déchiffrer, associée à une bonne éducation des utilisateurs, une authentification intégrée solide et des politiques de verrouillage et d'expiration décentes, le tout soutenu par une AUP qui interdit explicitement le partage de mot de passe, est la meilleure façon.
Si vous mettez en cache les informations d'identification (ce que la plupart des gens font pour la disponibilité), c'est un must. Si un ordinateur est physiquement volé et que la mise en cache des informations d'identification est activée, le voleur peut forcer la machine hors du réseau sans craindre l'activation de la stratégie de verrouillage du compte. Ils disposent alors d'informations d'identification valides pour vos ressources réseau. La modification de ces mots de passe à intervalles réguliers peut aider à minimiser ces dommages.
C'est la raison exacte pour laquelle vous ne vous connectez jamais avec un compte privilégié, vous vous connectez toujours en tant qu'utilisateur limité et élevez des invites individuelles, cela empêche les informations d'identification privilégiées d'être forcées brutalement en cas de vol / effraction.
Je suis dans le camp de ne jamais exiger de changements de mot de passe. Ou comme le dit l'article - tous les 25 ans - ouais je serai mort alors. Bien. Voici pourquoi ... J'ai 12 mots de passe à retenir dans mon travail. La plupart d'entre eux changent et ceux qui changent sont sur des horaires totalement différents. Ils ont tous des exigences de résistance différentes. Comment un humain faible peut-il y faire face? J'ai vu plusieurs façons: Écrivez-les sur un tableau blanc. Écrivez-les sur un papier et conservez-les dans un tiroir déverrouillé. ou ma méthode préférée: stockez-les dans une feuille de calcul Google Doc peu sécurisée. Il n'y a aucun moyen que vous puissiez me convaincre qu'aucune de ces méthodes (qui sont TRÈS courantes) ne contrebalance totalement aucun petit avantage de sécurité obtenu en exigeant des changements.
J'ai le temps d'écrire ce message car j'attends que quelqu'un du support informatique déverrouille l'un de mes comptes. Apparemment, je n'ai pas correctement mis à jour ma feuille de calcul la dernière fois. Existe-t-il une étude qui calcule le MILLIARD DE $$$ perdus à cause de ce non-sens?