 |
 |
Регулярная смена паролей
Очень часто в книжках по безопасности можно увидеть утверждения, что пароли нужно менять регулярно, чтобы их было сложнее подобрать. Я тоже был согласен с этим утверждением и тоже писал этот бред. Даже в системах безопасности ОС есть правила, которые заставляют пользователей регулярно менять пароли. На последних двух местах работы эти политики регулярно используются и после года использования этого бреда, я понял, что это бред. Как я раньше этого не замечал и почему другие не видят?
Утверждение о регулярной смене паролей может быть верным только если длина пароля ограничена 10 символами. В этом случае подбор пароля вполне решаемая задача и регулярная смена может повысить безопасность. Если ограничений нет, то лучше просто всем объяснить, что выбирать пароли надо длиннее и сложнее.
Итак, в чем же заключается бред? Я заметил, что когда пользователя принуждают регулярно менять пароли, то они просто перестают придумывать что-то сложное. Каждые два три месяца запоминать новый и сложный пароль никто не будет. Если в системе настроена политика, что следующий пароль не должен повторять пять предыдущих, то пользователи начинают упрощать пароли еще сильнее. Именно из-за этого в моду снова возвращаются пароли qwe123, qwer1234, qwe321, zxc123 и тому подобное.
У кого в системе настроены эти жесткие политики паролей? Признайтесь честно, как сильно ваш последующий пароль отличается предыдущего? На сколько сложные пароли вы придумываете? Лично я задолбался придумывать каждый раз реально сложные пароль, хотя раньше любил набивать что-то случайное и запоминать.
Я проанализировал одну небольшую большую базу паролей с жесткой политикой и пришел к выводу. Если в политике паролей написано, что один из символов должен быть большой буквой, то 90% большой сделают именно первую букву. Если в политике обязательна цифра или какой-нибудь тупой символ, то его просто добавляют в конец. Это значит, что политику без проблем может пройти пароль: Password1 и безопасность его будет минимальна. При следующей смене пароля пользователь выберет Password2. Ну а у одного пользователя я увидел очень гениальное решение, он установил себе пароль Summer1. Такой пароль точно не забудешь и я уже знаю, что он установит через три месяца (по ходу осталось чуть больше месяца).
База была небольшая и не может сделать мое утверждение законом, но рассуждения вполне логичны. Ну не любят юзеры запоминать сложное множество раз. Лучше менять реже, но зато просто поощрять пользователей выбирать реально сложные пароли и это будет на много выгоднее.
Если вы администратор, то я бы посоветовал вам проанализировать пароли, которые установили пользователи и подумать, может им дать запомнить один пароль на целый год, но реально сложный.
olegmaster
Если вы администратор, то я бы посоветовал вам проанализировать пароли, которые установили пользователи и подумать, может им дать запомнить один пароль на целый год, но реально сложный.
уже 3 года подряд делаем все по уму. на критических участках генерим раз в год рандомные пароли, вводим сами и раздаем их пользователям. подобрать такие пароли просто исключено и каждый не похож на предыдущий нисколько. база всех паролей находится только в одном бумажном экземпляре в сейфе, доступ к которому ограничен.
один и тот же пароль нельзя оставлять навсегда - это небезопасно. элементарно, пароль может быть случайно (или умышленно) в течение года скомпрометирован.
ну и прочие административные меры жесткие: отошел от рабочего места хоть на 2 минуты в туалет, обязан залочить вход в систему и т.п.
Дата: 2010-07-24
Михаил Фленов
Раз в год запомнить сложный пароль можно. У меня на последних двух работах заставляют менять пароли каждые три месяца. Мне впадлу.
Дата: 2010-07-24
n00b1k
Имею шесть сложных 12-14 символьных паролей которые помню наизусть и использую для аккаунтов систем, остальные храню в KeePass (рекомендую у использованию)
Дата: 2010-07-24
yuriy6_6
Интересно,Михаил,а в книге "Linux глазами хакера" 3-е издание Вы уже изменили своё мнение о частой смене паролей?
Дата: 2010-07-25
Михаил Фленов
Нет, я только недавно стал задумываться и только на этой неделе пришел к выводу, что частая смена паролей заставляет пользователей выбирать слишком простые пароли.
Дата: 2010-07-25
Роман Костенко
А ещё пользователи страдают такой фигнёй: пароль пишут на бумажках и приклеивают на монитор. От этого не отучить =)
Дата: 2010-07-25
Михаил Фленов
И делают это они из-за того, что слишком часто приходится менять пароли и запоминать их впадлу.
Дата: 2010-07-25
Евгений
Так нужно включить политику "Пароль должен отвечать требованиям сложности" и мин. длину в 10 символов, тогда у пользователей не будет возможности использовать простые пароли.
Дата: 2010-07-26
Павел
"И делают это они из-за того, что слишком часто приходится менять пароли и запоминать их впадлу."
Не слишком часто. Просто есть пользователи, которые не в состоянии (или не хотят) запоминать пароли, любой сложности.
У нас каждые пол года меняют пароли. И действительно, слышал что циферки добавляют в конец пароля - и все )
Дата: 2010-07-28
Mapper720
А не лучше ли пользоваться менеджерами паролей?
Дата: 2010-08-04
Оставить комментарий
Умеешь пользоваться BB кодами? Прекрасно, здесь можно использовать [quote] для цитирования, а так же [b] и [i]. Остальные коды пока использовать запрещено. Я думаю по поводу их использования. В комментариях нельзя выяснять крутость каких-либо продуктов, нужно уважать собеседников и не грубить и нельзя ничего додумывать (читайте мои посты внимательно). Нарушение этих простых правил ведет к удалению комментариев без предупреждения.