Frage Sollte ich meine Benutzer zwingen, Passwörter alle n Tage / Wochen / Monat zu ändern?


Frage sagt alles. Wir entwickeln ein System, bei dem Sicherheit sehr wichtig ist. Eine der Ideen, die jemand hatte, war, Benutzer zu zwingen, Passwörter alle 3 Monate zu ändern. Ich gehe davon aus, dass es zwar sicherer ist, weil sich das Passwort häufig ändert, aber es zwingt auch unsere Benutzer, sich an sich ständig ändernde Passwörter zu erinnern und macht es möglich, dass sie es einfach irgendwo aufschreiben, um sich daran zu erinnern.

In der gleichen Idee ist es wirklich gut, Benutzer zu zwingen, ein sehr schwer zu erratendes Passwort zu verwenden. Erzwinge ihnen,% &% und Großbuchstaben zu verwenden. Ich weiß, es ist ziemlich mühsam, ein solches Passwort zu erfinden und sich dann daran zu erinnern.

Andererseits wollen wir nicht, dass jemand 12345 benutzt.

So. Gibt es Whitepapers zu diesem Thema? Gute Übung?

Ich spreche von einer Website, die mit PHP erstellt wurde. MySQL in einer Lampenumgebung, wenn sich das ändert.


19
2017-08-23 20:41


Ursprung


Ich sehe, dass jemand über das Schließen dieses Themas abgestimmt hat. Ich denke, Passwort-Management ist sehr wichtig für die Programmierung. Aber wenn die Gemeinde sich beschweren sollte, sollte es gut schließen, wo soll ich das fragen? Superuser? - Iznogood
Ehrlich gesagt betrachte ich die Sicherheit des Kunden als seine Sorge. Verwenden Sie auf jeden Fall SSL und andere Dinge, um die Verschlüsselung so zu halten, dass sie nicht beschnüffelt werden kann, aber wenn er "0" für ein Passwort verwenden möchte, ist das seine eigene Schuld.
Versuchen Sie, Schnittstellen zu erstellen, die es Ihnen ermöglichen, Implementierungen dessen zu implementieren, was Sie später entscheiden. Eine Methode, um die Passwortstärke zu überprüfen (oder zu sagen, was mit dem Passwort falsch ist), eine Methode, um zu bewerten, ob es Zeit ist, sie zu ändern oder wann sie sein wird, und so weiter. Jetzt zurück "ok" und "muss nicht geändert werden" :) Später, wenn Sie Ihre Antwort von ServerFault bekommen, haben Sie die Türen zu öffnen ... - helios
@mathepic - "aber wenn er" 0 "für ein Passwort verwenden will, ist das seine eigene Schuld." - Ich stimme dem Konzept zu, aber in Wirklichkeit hat der Eigentümer der Website eine gewisse Verantwortung. Wenn Sie bei Ihrer Bank "0" verwenden und Ihr Konto gelöscht wird, wird es zurückgestellt, oder? - tomjedrz
@mathepic stimme ich völlig nicht zu. Vielleicht für Hotmail ist es die Benutzer Fehler, aber wenn es ein privates System voller privater Informationen ist das Problem des Unternehmens, wenn es kompromittiert, weil einige Idioten "0" gewählt. - Iznogood


Antworten:


Ich denke, dass ich dabei in der Minderheit sein könnte (basierend auf meiner begrenzten Erfahrung mit IT-Abteilungen in der Schule und der Arbeit), aber ich denke, dass obligatorische, zeitbasierte Passwortwechsel-Richtlinien bestenfalls wertlos und im schlimmsten Fall schädlich sind. Menschen neigen dazu, sehr schlecht darin zu sein, gute Passwörter zu wählen und sie geheim zu halten. Die Ablaufrichtlinien für Passwörter sind darauf ausgelegt, dies zu begrenzen, indem die Zeitspanne begrenzt wird, für die ein Passwort geknackt / sozialisiert / gestohlen werden kann; Dies wird jedoch in der Praxis nicht erreicht, da sie die Benutzer zwingen, ihr Kennwort kontinuierlich neu zu lernen. Da es für den Benutzer schwieriger wird, seine Passwörter in den Speicher zu schreiben, führt dies dazu, dass viele von ihnen schwächere Passwörter wählen und / oder ihre Passwörter dort ablegen, wo neugierige Augen sie finden können.

Außerdem werden viele Benutzer, wenn sie gezwungen werden, ihr Passwort regelmäßig zu ändern, Passwörter wählen, die einem sehr erkennbaren Muster folgen, wie z [base string][digit]. Nehmen wir an, ein Benutzer möchte seinen Katzennamen Fluffy als sein Passwort verwenden. Sie könnten mit einem Passwort von beginnen fluffy, dann ändere es in fluffy1, fluffy2, fluffy3 und so weiter. In diesem Fall trägt die Richtlinie nicht wirklich zur Sicherheit bei; selbst wenn der Benutzer eine sicherere Basiszeichenfolge als wählt fluffyUnd selbst wenn sie ihr Passwort gut merken, hilft das einzelne Suffix, das sich alle paar Monate ändert, sehr wenig, um Cracking oder Social Engineering-Attacken zu mildern.

Siehe auch: Kennwortablauf als schädlich eingestuftein kurzer Artikel (nicht von mir geschrieben), der meiner Meinung nach eine gute Einführung in diese Probleme bietet.


28
2017-08-23 21:00



@bcat Danke für den Link! - Iznogood
Sie können Ihren zweiten Punkt in Ihrer Passwortrichtlinie verhindern, indem Sie eine Diversifizierung von historischen Passwörtern verlangen. - Warner
@Warner: Wie würdest du das sicher umsetzen? Sie sollten fast nie Passwörter speichern, ohne sie vorher zu hashen fluffy1 sollte einen völlig anderen Hash als haben fluffy2. Es ist einfach genug, um Benutzer daran zu hindern, die genau Das gleiche Passwort, aber ich denke, das ist alles, was Sie tun können. - bcat
@bcat, du sicher können Überprüfen Sie, ob das neue Passwort eine einfache Änderung des alten Passworts ist. Im Fall des Erhöhungszahl-Suffixes dekrementieren und inkrementieren Sie einfach das neue Passwortsuffix (falls es eine Zahl ist) und vergleichen seinen Hash-Wert mit den zuvor gespeicherten Hashes für diesen Benutzer. Sie können auch andere einfache Transformationsprüfungen durchführen. Alles ohne Passwort im Klartext zu speichern. - mmcdole
@bcat: Linux verwendet diese Art der Verifizierung über PAM (Pluggable Authentication Module) und die Dienstprogramme, die es Benutzern ermöglichen, ihre Passwörter im System zu ändern, um ihr aktuelles Passwort anzufordern, damit es anhand des neuen Passworts beurteilt werden kann. - syn-


Meine große Organisation (15.000+ Benutzer) hat im Herbst 2009 alle 120 Tage "Passwortänderungen" vorgenommen. Es ist ein großer IT-Kopfschmerz und Verschwendung von Support-Ressourcen. Jedes Mal, wenn das 120-Tage-Fenster herumläuft, haben Tausende von Benutzern gezwungen, ihr Passwort zu ändern ... was viele von ihnen entweder falsch machen und ihr Konto sperren ... oder den nächsten Tag vergessen. Unser Helpdesk wird mit Passwortaufrufen überschwemmt, obwohl wir versucht haben, so viel wie möglich Self-Service zu machen.

Wenn Sie möchten, dass Ihre Benutzer / Kunden Sie hassen .... und Ihre IT-Mitarbeiter an vorderster Front, um Sie bei jeder Gelegenheit zu verbrennen ... implementieren Sie Passwortänderungen.

Richtlinien für das Ändern von Passwörtern sind ein Kontrollkästchen in einem IT Manager, wie man es irgendwo buchen kann ... und es wurde vor 15 Jahren geschrieben. Niemand in den Schützengräben, der die Richtlinie tatsächlich implementiert oder unterstützt, wird Ihnen jemals sagen, dass dies eine gute Idee ist.

Ich argumentierte hier für "Pass-Sätze" anstelle von Passwörtern .... fette Menge gut, die ... das Licht am Ende des Tunnels war ein entgegenkommender Zug. :)

Eine Passphrase ist eine lange, fast unüberwindbare Zeichenfolge, die sich leicht merken lässt, wie "MyCatIsFromSpainAndICallHimElGato". Oder vielleicht eine Zeile aus einem Gedicht oder einem Lied.

Wenn du es wirklich schwer machen willst, es zu knacken ... mach es mit dem Fall, füge ein paar Interpunktionszeichen hinzu, ändere ein paar in Ells, ohs in Nullen, a in @, etc ... Aber behalte es in Erinnerung ... Das ist der Schlüssel. Es gibt sogar Möglichkeiten, sie auszuwählen, so dass sie leicht von den Fingern zur Tastatur fließen .... also hüpfen Sie nicht zwischen den Händen oder mit SHIFTs und seltsamen Interpunktionen.

So...

  • Verwenden Sie lange "Pass-Sätze".
  • Teste sie intern auf Stärke.
  • Implementieren Sie "Single Sign-On" für die gesamte Infrastruktur, sodass Kunden sie nur ein- oder zweimal am Tag verwenden müssen.
  • Zwinge sie niemals dazu, sie zu ändern.
  • Und erziehen, erziehen, erziehen über ihren korrekten Gebrauch.

Matt

EDIT: 24.08.2011  XKCD stimmt zu und sagte es besser als ich.


14
2017-08-24 03:42



Es klingt wie ein gutes Argument dafür, nicht bei User-Education zu versagen, nicht unbedingt gegen Passwortrichtlinien. Kein Fehler von Ihrer Seite - jemand, der höher in der IT-Branche ist, hat die Dinge schlecht verpfuscht, weil die Ideen, die Sie aufgelistet haben, etwas gewesen sein sollten, das jeder Mitarbeiter für jede Passwortwechsel-Aufforderung vor sich hatte. - Kara Marfia
Single-Sign-On sollte wirklich der erste Punkt sein, es ist die Karotte, die den Benutzern einen Grund gibt, das Passwort zu lernen. Außerdem sollte die Ablaufzeit davon abhängen, wie oft der Benutzer das Passwort verwendet, 30-tägiger Ablauf ist für ein täglich verwendetes System nicht unangemessen, aber bei einem früheren Arbeitgeber seine (Nicht-SSO-) Spesen-App (eine App, die nur die meisten Leute nutzen) Einmal im Monat eingeloggt) hatte eine Ablauffrist von 30 Tagen. Jeder, den ich kenne, klingelte jedes Mal beim Helpdesk! - GAThrawn
Single Sign-On ist unglaublich nützlich. Es hilft, die Anzahl der Kennwörter, die ein Benutzer benötigt, drastisch zu reduzieren. - Anthony Giorgio


Nein. Meine persönliche Meinung ist, dass es ist nicht notwendig und selbst kontraproduktiv. Ich habe über meinen Blog gejammert, aber Sie können das nach unten suchen, wenn Sie interessiert sind.

Kurz gesagt, es kommt auf zwei Gründe an:

1. Wenn ein Benutzer gezwungen wird, sein Passwort ständig zu ändern, führt dies zu falschen Passwörtern.

Es wird keinen Mangel an Anekdoten darüber geben, aber es macht Sinn, wenn ich gezwungen bin, mich alle x Tage an ein neues Ding zu erinnern, werde ich mir diese Dinge leicht merken und wahrscheinlich miteinander in Beziehung setzen.

Benutzer werden wahrscheinlicher "erratable" Passwörter wie "Jan2010" oder "Password05" wählen, wenn sie wissen, dass sie sich bald ändern müssen. Das Erzwingen einer strikten Richtlinie für Zeichen führt wahrscheinlich nur zu einem zusätzlichen Ausrufezeichen oder einem vollständig buchstabierten Namen anstelle einer Abkürzung. Es gibt einen großen Unterschied zwischen einem technisch komplexen Passwort und einem, das nicht zu erraten ist.

2. Das Erzwingen regulärer Passwortänderungen verhindert keine Angriffe, sondern reduziert nur das Risiko (und nicht viel)

Denken Sie darüber nach - wenn Ihr Passwort irgendwie erraten oder entdeckt wird, wie lange würde ein Angreifer diese Informationen brauchen? Versetzen Sie sich in die Lage des Angreifers. Du hast gerade ein Passwort entdeckt. Würden Sie sich nicht einloggen und alle Informationen sofort für den Fall herausholen, dass jemand es herausfindet? In 30 Tagen haben Sie schon alles, was Sie wollen.

Meine Empfehlung:

  • Erzwinge eine äußerst strenge Passwortrichtlinie (wie 15 Zeichen mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen, ohne englische Wörter> 3 Zeichen)
  • Niemals den Benutzer das Passwort ändern lassen. Wenn sie das Passwort auf ein Stück Papier schreiben und es in ihrer Brieftasche aufbewahren müssen, ist das in Ordnung. Die Leute sind gut darin, Papierstücke zu sichern, aber nicht so gut, sich an zufällige Zeichenketten zu erinnern.

10
2017-08-24 03:04



+1 - stimme größtenteils zu, obwohl ich 120 Tage oder 180 Tage Ablauf mag. Viel Glück, dass in einer politischen Organisation eine "äußerst strenge" Passwort-Politik aufrechterhalten wird. - tomjedrz
"Die Leute sind gut darin, Papierstücke zu sichern" - wirklich? Du musst viel bessere Leute kennen als ich! Als ich früher Desktop-Unterstützung hatte, konnte man leicht auf den PC eines Benutzers gelangen, wenn sie nicht da waren, indem man einfach das Papiertagebuch, das sie auf dem Schreibtisch gelassen hatten, auf die Rückseite nahm und dann das neueste Wort eintippte die Passwortbox. - GAThrawn
Ich denke, es hängt vom Stück Papier ab und davon, wie wichtig es ist. Würden dieselben Leute 50 Dollarscheine auf ihrem Schreibtisch liegen lassen? Ihre Kreditkarten? :) - Damovisa


Aus der Sicht des Benutzers ist es äußerst unpraktisch, mein Passwort ändern zu müssen. Ich hasse es absolut, dies zu tun, und werde nur widerwillig Websites benutzen, die ich unbedingt brauchen wenn sie verlangen, dass ich mein Passwort ändere.

Es gab auch eine Diskussion darüber, ob dies wirklich eine gute Übung ist, da einige Leute ihre Passwörter aufschreiben müssen, um sich an sie zu erinnern.

Sie könnten eines dieser Widgets implementieren, das den Leuten zeigt, wie stark (oder schwach) ihr Passwort ist, während sie es ausfüllen - ich finde diese (sorta) nützlich, obwohl ich nicht weiß, ob sie tatsächlich stärker sind Passwörter.


4
2017-08-23 20:55



Nun, in diesem Fall ist es eine private Seite ohne Anmeldeformular. Benutzer sind Angestellte, also müssen sie das System benutzen, das er ist. Davon abgesehen bin ich nicht unbedingt mit sehr hoher Sicherheit einverstanden. Aber ich kann nicht alles entscheiden, was du siehst. - Iznogood


Als Benutzer einer ziemlich strikten Passwortrichtlinien-Umgebung ("super schwer zu erratende Passwörter" und Passwortwechsel gleichermaßen) ist meiner Meinung nach nur das harte Passwort erforderlich. Es wird zwar ein wenig dauern, bis sich Ihre Benutzer daran gewöhnen (besonders wenn es sich um den 12345-Benutzer handelt), aber innerhalb einer Woche sollten Sie sich daran erinnern und es leicht eingeben können.

Ich kann jedoch unbequeme Endbenutzer vorhersagen, wenn Sie so starke Passwörter haben und Sie dazu zwingen, sich zu ändern.


3
2017-08-23 20:49





Aus der Sicht der IT-Administration besteht die beste Möglichkeit darin, die Möglichkeit zu prüfen, dass Ihre Anwendung die Single-Sign-On-Funktionen des vorhandenen Authentifizierungsschemas verwenden kann, das Ihre Kunden verwenden. Offensichtlich ist Active Directory ein großer Player, aber wenn Ihre Anwendung funktioniert mit Die Richtlinie, die von der IT vor Ort bereits konfiguriert wurde, muss nicht neu erfunden werden.

Da es so viele Diskussionen darüber gab, ob erzwungene Passwortänderungen eine gute Idee sind oder nicht (obwohl ich denke, dass das hinter Ihrer Hauptfrage zweitrangig war), dachte ich, dass Ihnen einige der Ideen und Links gefallen könnten Hier. Für die meisten Situationen, wenn Sie nicht eine Passwort-Komplexität erzwingen und den Zeitplan ändern wollen, können Sie genauso gut keine Passwörter haben - aber die Weg es ist implementiert (Training, Management-Unterstützung, etc.) ist wichtiger als ich betonen kann.


3
2017-08-24 14:35





Das Ändern von Kennwörtern kann dazu führen, dass Benutzer sie aufschreiben. Das ist laut Bruce Schneier keine so schlechte Idee (http://www.schneier.com/blog/archives/2005/06/write_down_your.html).

Ich würde sogar behaupten, dass die Sicherheit, die der Usability im Weg steht, irgendwann eine gute Sache sein kann, nur weil sie den Benutzer daran erinnert, sicher zu handeln. Zum Beispiel sind in der Bank, in der ich arbeite, viele der Sicherheitsmaßnahmen vorhanden Sicherheitstheater (zum Beispiel Gesichtserkennung an der Tür, aber der Sicherheitsmann wird die Tür für Sie öffnen, wenn die Erkennung fehlschlägt). Während diese Maßnahmen die Sicherheit nicht von selbst verbessern, sind sie immer da, um uns daran zu erinnern, dass Sicherheit ein wichtiger Aspekt bei der Arbeit ist, dass es eine gewisse Menge an Protokollierung und Überprüfung gibt und dass, wenn Sie etwas "unsiches" tun wird in Schwierigkeiten geraten.

Dies gilt natürlich für die Sicherheit der Mitarbeiter einer Bank, möglicherweise nicht für die Nutzer Ihrer Website.


2
2017-08-24 15:03