Existe-t-il un avantage en termes de sécurité pour une politique de changement de mot de passe régulière?


14

J'ai trouvé dans plusieurs cas, obliger les utilisateurs à changer leur mot de passe régulièrement devient plus une pression sur la maintenance plutôt qu'une aide à la sécurité. De plus, j'ai vu des utilisateurs écrire leurs nouveaux mots de passe car ils n'ont pas assez de temps pour se souvenir de leurs mots de passe et ne peuvent pas être dérangés de réapprendre un autre.

Quel avantage de sécurité y a-t-il à forcer un changement de mot de passe?

Réponses:


8

Voici une prise différente du journal SANS:
Règles de mot de passe: changez-les tous les 25 ans

Il y a un avantage pratique. Si quelqu'un a votre mot de passe, et tout ce qu'il veut, c'est lire votre e-mail et ne pas être détecté, il peut le faire pour toujours, à moins que vous ne changiez éventuellement votre secret de connexion. Ainsi, changer régulièrement le mot de passe n'aide pas beaucoup contre quelqu'un qui s'introduit et s'enfuit avec vos biens, mais cela vous donne la possibilité de secouer les harceleurs ou les espions que vous pourriez avoir accès à votre compte. Oui c'est bon. Mais si cet avantage vaut à lui seul les inconvénients et les inconvénients mentionnés de forcer les utilisateurs à changer leur mot de passe tous les 90 jours, j'ai des doutes.


Et cet article manque le seul point clé - sans exigence de changement de mot de passe, tout le monde finit par connaître le mot de passe de tout le monde. Les menaces internes représentent un risque beaucoup plus élevé que les menaces externes.
Doug Luxem

@DLux, pourquoi présumez-vous que les utilisateurs ne changeront jamais leurs mots de passe? Au fil du temps, les gens doivent apprendre à sécuriser leurs ressources en fonction de la valeur qu'ils y voient (et non par des mesures administratives). S'il est forcé à titre préventif, un utilisateur est très susceptible de rechercher (et de trouver) un moyen de conserver le même mot de passe après la modification. Ils ne changeront le mot de passe que s'ils le veulent vraiment.
nik

1
C'est un fait que les utilisateurs vont partager leurs mots de passe entre eux. Le fait d'exiger des modifications occasionnelles ajoute une barrière suffisante à ce partage (c'est-à-dire que les mots de passe partagés qu'ils connaissent cessent de fonctionner). Si vous ne pensez pas que vos utilisateurs partagent des mots de passe, vous ne les connaissez probablement pas assez bien.
Doug Luxem

1
@DLux, je les connais assez bien pour observer que lorsque les mots de passe sont partagés, l'une ou l'autre des personnes connaissant changerait le mot de passe lorsqu'elle serait forcée de le faire - et, probablement avec un modèle prédéfini. Il est très difficile de concevoir des algorithmes qui tiennent compte de l'ingénierie sociale des esprits humains. Il y a une incomplétude quelque part là-dedans du genre Gödel.
nik

11

Forcer un changement de mot de passe lorsque vous le devinez (en exécutant un programme de devinette de mot de passe sur tous vos utilisateurs tout le temps).

Il est difficile de discuter avec "vous devez changer votre mot de passe" lorsque la réponse à "pourquoi?" est "parce que nous avons pu le deviner aveugle". Il récompense automatiquement ceux qui choisissent des mots de passe difficiles à deviner et enseigne à vos utilisateurs quels mots de passe sont faibles. S'ils choisissent "mot de passe1", il expirera avant de pouvoir se connecter une fois. Si un utilisateur choisit un mot de passe alphanumérique aléatoire à 16 caractères et à casse mixte, vous ne le devinerez jamais - et personne d'autre non plus. Laissez-les le garder très longtemps, et ils pourront même le mémoriser.


C'est brillant. Mal, mais brillant.
acolyte du

6

C'est un compromis. Le fait d'exiger des changements de mot de passe fréquents entraîne des mots de passe de qualité inférieure. Il y a même eu des recherches à cet effet.

Cela étant dit, le seul moyen fiable que j'ai trouvé pour empêcher les utilisateurs de partager des mots de passe est d'exiger des changements de mot de passe périodiques. Mon expérience montre que 90 jours semblent être un compromis décent entre convivialité et sécurité. Si vous allez plus longtemps, les gens commencent à compter sur des mots de passe partagés - plus tôt et vous vous retrouvez avec "November09", "December09".


5

La pire chose à propos de forcer un changement de mot de passe n'est pas que vous incitez réellement les gens à changer leurs mots de passe. C'est que généralement, il est accompagné de peu ou pas d'avertissement, et ils sont immédiatement frappés par un problème qu'ils doivent résoudre immédiatement, donc au lieu de donner à quelqu'un le temps de réfléchir à un bon mot de passe, il est plus probable qu'il soit moins sécurisé. mais plus facile à retenir ou plus sûr, mais il est simplement écrit, annulant ainsi l'avantage de sécurité.


3
Dans une situation AD standard, vous êtes averti à chaque connexion pendant 15 jours avant qu'elle ne soit requise.
MDMarra

2

Si les mots de passe sont d'une complexité suffisante pour ne pas être facilement devinables et ne sont pas partagés entre les systèmes, et il est peu probable qu'ils aient été compromis, la modification d'un mot de passe n'est probablement pas si importante.

Cependant, si l'un de ces événements se produit, et les deux premiers sont probablement plus courants qu'improbables, le fait de forcer les gens à changer périodiquement le mot de passe signifie qu'ils sont moins susceptibles de partager des mots de passe, au moins.

Cela dit, je choisirais d'éduquer vos utilisateurs sur ce que signifie un bon mot de passe et pourquoi il est très mauvais de les partager. Les noter est courant, peu importe ce que vous faites.

Je recommande aux gens de choisir un mot de passe dans un livre qu'ils connaissent, en se souvenant d'une citation moins familière ou en créant une phrase. Utilisez la première lettre de chaque mot et ajoutez quelque part deux chiffres à l'intérieur. La plupart des gens se souviennent de cela après l'avoir tapé plusieurs fois.


2

Je ne vois aucun avantage à cette pratique.

Un mot de passe fort est beaucoup plus important. Par fort, je veux dire soit 9+ caractères alphanumériques + symboles spéciaux, soit un mot de passe / expression de 15+ [az] uniquement non dictionnaire (ceci est basé sur une étude récente du coût de la brutalisation des mots de passe en utilisant EC2 d'Amazon).

Les systèmes accessibles à distance doivent disposer d'un logiciel de détection et de prévention de bruteforce (par exemple, fail2ban) sur tous les services exposés. C'est beaucoup plus important, OMI, que la politique de changement de mot de passe habituelle.


Mais une attaque par force brute suppose que l'attaquant possède une copie de votre mot de passe crypté. À quelle fréquence cela se produit-il vraiment?
chris

On pourrait exécuter une attaque bruteforce soit contre un fichier de mots de passe (comme vous le dites), soit contre un service réseau exposé avec authentification par mot de passe. Pour obtenir le fichier de mots de passe, il faut gagner au moins un certain niveau d'accès au système cible (physique ou distant), et je crois que l'utilisation d'un exploit à ce stade au lieu de craquer des mots de passe est une option très viable (et efficace). Pour conclure, je crois (mais je ne peux pas prouver) que la possibilité qu'une personne obtienne une copie des mots de passe cryptés soit à peu près la même que celle qui obtient un accès non autorisé au système cible - en utilisant d'autres approches.
chronos

La mise sous garde des mots de passe est beaucoup plus lente que l'attaque d'un mot de passe crypté. En règle générale, si j'ai le mot de passe crypté, j'ai déjà un accès de niveau administrateur ou un contrôle physique.
chris

c'est ce que je dis :) J'utilise juste "bruteforce" à la fois pour les attaques à distance et pour décrypter les mots de passe.
chronos

2

Le problème de base est que les mots de passe, en tant que mécanisme de sécurité, puent.

Si vous demandez aux gens de les changer souvent, ils les notent. Si vous leur demandez d'utiliser des mots de passe de 30 lettres avec au moins 3 chiffres, 4 lettres majuscules et un caractère de contrôle, ils les oublient ou les écrivent ou font d'autres bêtises. S'ils sont simples, les utilisateurs utiliseront un mot de passe stupide comme bunny7 ou Bunny7. Et ils utiliseront le même mauvais mot de passe pour tout, y compris leur compte porno et leur compte hotmail.

J'aime les outils comme Mobile OTP , qui permettent aux utilisateurs d'utiliser leur téléphone portable comme un outil d'authentification à deux facteurs.

À long terme, il est probable que nous atterrirons en quelque sorte dans un monde avec des certificats cryptés comme mécanisme d'identification de l'utilisateur. Des choses comme OpenID et CAS simplifient l'authentification des utilisateurs et permettent une connexion unique pratique.

À long terme, le meilleur pari est de réduire le nombre de fois où les utilisateurs doivent émettre des informations d'identification - se débarrasser du mot de passe "HR" et du mot de passe "feuille de temps" et du mot de passe "CRM". Unifiez-les dans une infrastructure d'authentification commune qui oblige les utilisateurs à émettre leurs informations d'identification une fois. Demandez-leur ensuite d'utiliser quelque chose comme MobileOTP ou un RSA SecurID qui utilise l'authentification à deux facteurs.

À court terme, les politiques de mot de passe vont être le sujet des guerres de religion. Faites simplement ce que votre patron vous demande, et si vous êtes le patron, utilisez votre jugement en fonction de votre base d'utilisateurs et de votre profil de sécurité attendu.

Bonne chance!


1

Cette pratique, qui n'est pas totalement inutile, était bien plus importante depuis longtemps. Débattre de cette politique est en fait contre-productif, car il détourne l'attention des menaces actuelles qui sont beaucoup plus graves.

Considérer:

  • Si vous utilisez Windows / AD et qu'un compte n'a pas la case à cocher «Le compte est sensible et ne peut pas être délégué», ce compte peut être utilisé via l'emprunt d'identité et aucun mot de passe n'est requis. Le code pour ce faire est trivial.

  • Si le poste de travail Windows d'une personne est compromis par une vulnérabilité de sécurité, son jeton de sécurité Windows en mémoire peut être utilisé pour accéder à d'autres ordinateurs. Encore une fois, aucun mot de passe n'est requis.

Soit dit en passant, c'est la deuxième raison pour laquelle vous ne devez accéder aux serveurs qu'en utilisant un compte différent de votre compte utilisateur ordinaire quotidien. Notez également que les deux scénarios défont complètement même les mécanismes d'authentification à deux facteurs les plus robustes.

La meilleure chose qui puisse se produire en ce qui concerne la sécurité des mots de passe est de cesser d'en débattre et de se concentrer sur les menaces plus contemporaines et graves.

Plus d'information:

Découvrez la présentation de Luke Jennings, "Un jeton pour les gouverner tous":

http://eusecwest.com/esw08/esw08-jennings.pdf

Insomnia Shell - exemple du code requis pour compromettre les jetons sur un serveur ASP.Net:

http://www.insomniasec.com/releases/tools

Comment: utiliser la transition de protocole et la délégation contrainte dans ASP.NET 2.0

http://msdn.microsoft.com/en-us/library/ms998355.aspx

Recherchez «sans mot de passe».


0

Plus un mot de passe reste inchangé, plus il est susceptible d'être compromis, simplement parce qu'il y aura plus de possibilités de situations dans lesquelles il peut être compromis (étant donné un temps infini, tout est possible). Il est également plus difficile de changer à l'avenir, car l'utilisateur se sera habitué à l'ancien. Un autre risque est que s'il est compromis et que l'utilisateur n'est pas conscient du fait qu'il existe un risque d'utilisation abusive grave et continue du compte de l'utilisateur. Des changements périodiques atténueront au moins cela, car le prochain changement de mot de passe appliqué rendra le mot de passe compromis inutile.

D'après mon expérience, le scénario le plus susceptible d'amener les utilisateurs à écrire des mots de passe est un manque de réflexion commune dans votre infrastructure de sécurité, comme avoir plusieurs systèmes différents qui nécessitent tous leur propre nom d'utilisateur et mot de passe combinés. Jetez 5 de ceux-ci à un utilisateur et vous obtiendrez un syndrome de note collante jaune avec une vengeance.

Une politique de mot de passe raisonnable qui permet aux utilisateurs de choisir des mots de passe faciles à retenir mais difficiles à déchiffrer, associée à une bonne éducation des utilisateurs, une authentification intégrée solide et des politiques de verrouillage et d'expiration décentes, le tout soutenu par une AUP qui interdit explicitement le partage de mot de passe, est la meilleure façon.


Parce que simplement? S'il vous plaît, expliquez ! Vos systèmes sont-ils soumis à des attaques tierces continues? Peut-être qu'une sorte d'IDS est en ordre au lieu des changements de mot de passe?
Tim Williscroft

Je n'ai jamais dit que c'était mes systèmes, mais non, ils sont soumis à une ruche insidieuse, néfaste et misérable d'écume et de voyous connue sous le nom de "Real Life End Users". Les utilisateurs sont paresseux, ils ne se soucient pas de la sécurité ("c'est le problème de quelqu'un d'autre") et ils veulent juste que tout soit aussi simple que possible pour eux. C'est une question d'équilibre.
Maximus Minimus

0

Si vous mettez en cache les informations d'identification (ce que la plupart des gens font pour la disponibilité), c'est un must. Si un ordinateur est physiquement volé et que la mise en cache des informations d'identification est activée, le voleur peut forcer la machine hors du réseau sans craindre l'activation de la stratégie de verrouillage du compte. Ils disposent alors d'informations d'identification valides pour vos ressources réseau. La modification de ces mots de passe à intervalles réguliers peut aider à minimiser ces dommages.

C'est la raison exacte pour laquelle vous ne vous connectez jamais avec un compte privilégié, vous vous connectez toujours en tant qu'utilisateur limité et élevez des invites individuelles, cela empêche les informations d'identification privilégiées d'être forcées brutalement en cas de vol / effraction.


1
Changer régulièrement de mot de passe n'aidera pas beaucoup avec les ordinateurs volés; sauf si vous vous assurez toujours de laisser le mot de passe expirer avant que quelqu'un ne le vole ...: P Seuls les pirates informatiques les plus stupides attendraient plusieurs jours après avoir obtenu l'accès avant de l'exploiter ....
Stein G. Strindhaug

0

Je suis dans le camp de ne jamais exiger de changements de mot de passe. Ou comme le dit l'article - tous les 25 ans - ouais je serai mort alors. Bien. Voici pourquoi ... J'ai 12 mots de passe à retenir dans mon travail. La plupart d'entre eux changent et ceux qui changent sont sur des horaires totalement différents. Ils ont tous des exigences de résistance différentes. Comment un humain faible peut-il y faire face? J'ai vu plusieurs façons: Écrivez-les sur un tableau blanc. Écrivez-les sur un papier et conservez-les dans un tiroir déverrouillé. ou ma méthode préférée: stockez-les dans une feuille de calcul Google Doc peu sécurisée. Il n'y a aucun moyen que vous puissiez me convaincre qu'aucune de ces méthodes (qui sont TRÈS courantes) ne contrebalance totalement aucun petit avantage de sécurité obtenu en exigeant des changements.

J'ai le temps d'écrire ce message car j'attends que quelqu'un du support informatique déverrouille l'un de mes comptes. Apparemment, je n'ai pas correctement mis à jour ma feuille de calcul la dernière fois. Existe-t-il une étude qui calcule le MILLIARD DE $$$ perdus à cause de ce non-sens?

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.