Очень часто в книжках по безопасности можно увидеть утверждения, что пароли нужно менять регулярно, чтобы их было сложнее подобрать. Я тоже был согласен с этим утверждением и тоже писал этот бред. Даже в системах безопасности ОС есть правила, которые заставляют пользователей регулярно менять пароли. На последних двух местах работы эти политики регулярно используются и после года использования этого бреда, я понял, что это бред. Как я раньше этого не замечал и почему другие не видят?
Утверждение о регулярной смене паролей может быть верным только если длина пароля ограничена 10 символами. В этом случае подбор пароля вполне решаемая задача и регулярная смена может повысить безопасность. Если ограничений нет, то лучше просто всем объяснить, что выбирать пароли надо длиннее и сложнее.
Итак, в чем же заключается бред? Я заметил, что когда пользователя принуждают регулярно менять пароли, то они просто перестают придумывать что-то сложное. Каждые два три месяца запоминать новый и сложный пароль никто не будет. Если в системе настроена политика, что следующий пароль не должен повторять пять предыдущих, то пользователи начинают упрощать пароли еще сильнее. Именно из-за этого в моду снова возвращаются пароли qwe123, qwer1234, qwe321, zxc123 и тому подобное.
У кого в системе настроены эти жесткие политики паролей? Признайтесь честно, как сильно ваш последующий пароль отличается предыдущего? На сколько сложные пароли вы придумываете? Лично я задолбался придумывать каждый раз реально сложные пароль, хотя раньше любил набивать что-то случайное и запоминать.
Я проанализировал одну небольшую большую базу паролей с жесткой политикой и пришел к выводу. Если в политике паролей написано, что один из символов должен быть большой буквой, то 90% большой сделают именно первую букву. Если в политике обязательна цифра или какой-нибудь тупой символ, то его просто добавляют в конец. Это значит, что политику без проблем может пройти пароль: Password1 и безопасность его будет минимальна. При следующей смене пароля пользователь выберет Password2. Ну а у одного пользователя я увидел очень гениальное решение, он установил себе пароль Summer1. Такой пароль точно не забудешь и я уже знаю, что он установит через три месяца (по ходу осталось чуть больше месяца).
База была небольшая и не может сделать мое утверждение законом, но рассуждения вполне логичны. Ну не любят юзеры запоминать сложное множество раз. Лучше менять реже, но зато просто поощрять пользователей выбирать реально сложные пароли и это будет на много выгоднее.
Если вы администратор, то я бы посоветовал вам проанализировать пароли, которые установили пользователи и подумать, может им дать запомнить один пароль на целый год, но реально сложный.
Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку пока еще никто не лайкал и ты можешь быть первым
Раз в год запомнить сложный пароль можно. У меня на последних двух работах заставляют менять пароли каждые три месяца. Мне впадлу.
Имею шесть сложных 12-14 символьных паролей которые помню наизусть и использую для аккаунтов систем, остальные храню в KeePass (рекомендую у использованию)
Интересно,Михаил,а в книге "Linux глазами хакера" 3-е издание Вы уже изменили своё мнение о частой смене паролей?
Нет, я только недавно стал задумываться и только на этой неделе пришел к выводу, что частая смена паролей заставляет пользователей выбирать слишком простые пароли.
А ещё пользователи страдают такой фигнёй: пароль пишут на бумажках и приклеивают на монитор. От этого не отучить =)
И делают это они из-за того, что слишком часто приходится менять пароли и запоминать их впадлу.
Так нужно включить политику "Пароль должен отвечать требованиям сложности" и мин. длину в 10 символов, тогда у пользователей не будет возможности использовать простые пароли.
"И делают это они из-за того, что слишком часто приходится менять пароли и запоминать их впадлу."
Не слишком часто. Просто есть пользователи, которые не в состоянии (или не хотят) запоминать пароли, любой сложности.
У нас каждые пол года меняют пароли. И действительно, слышал что циферки добавляют в конец пароля - и все )
А не лучше ли пользоваться менеджерами паролей?
пользовательские пароли не меняю. меняю пароль сервера (раз в пару месяцев, иногда реже), чижило и, что немаловажно, есть вероятность его забыть (вот и вчера, виндуза-сервер написала, что через 6 дней пароль устареет).
но пользователей мучать этим, конечно, не нужно (исключение, пожалуй, только одно — база скомпрометирована).
а то некоторые сайты грешат тем, что требуют смены пароля, а сменить его — целая песня (недавно, вернувшись из Сочи, обнаружил, что не могу зайти на xap. “тикетная” война за получение нового пароля заняла 3 суток)
Хотите найти еще что-то интересное почитать? Можно попробовать отфильтровать заметки на блоге по категориям.
Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю
Copyright © 2024 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.
А здесь еще и копирайт поставлю: Professional Web Development.
