полезни статии

Колко често трябва да сменя паролите си?

Уважаеми Goldavelez.com,

Моята компания и някои уебсайтове ме принуждават редовно да променя паролите си, както на всеки три месеца или така. Колко често трябва да сменя паролите си за всичките си други входни данни (ако изобщо има такива)?

Подписано,

Застояли пароли

Уважаеми SP,

Много организации изискват задължителни промени на паролата, тъй като дълго време се считат за сигурност „най-добра практика“. Въпреки това има плюсове и минуси на това правило, така че преди да решите дали трябва редовно да променяте другите си пароли, нека да разгледаме времената, когато промяната на паролата ви често има смисъл - и кога не.

Защо компаниите прилагат правила за продължителност на паролата

Когато сменяте паролата си на всеки няколко месеца, тя ограничава колко дълго открадната парола е полезна за прикрит нападател - колко дълго той / тя има достъп до вашия акаунт. Ако някой открадне вашата парола и вие не знаете за нея, нападателят може да подслушва неограничено време и да събира всякаква информация за вас или да нанесе други щети.

Ето защо в продължение на десетилетия много насоки за сигурност препоръчват честа смяна на паролата, обикновено между 30 и 180 дни. Windows Server има по подразбиране 42 дни.

Въпреки това, в повечето случаи те могат да бъдат остарели политики или препоръки. Най-малкото е много спорно, че често промяната на пароли всъщност повишава сигурността.

Защо смяната на паролите ви често може да е загуба на време

Преди няколко години проучване на Microsoft установи, че задължителните промени на паролата струват милиарди загубена производителност - за много малко изплащане на сигурността. Други ресурси за компютърна сигурност (университет Пърдю, здравна информатика и блог като CIO блог например) посочват, че „най-добрата практика“ на често променящите се пароли не допринася много за подобряване на сигурността, но много за увеличаване на неудовлетвореността на всеки. Обикновено потребителите избират вариации на едни и същи прости пароли (напр. Password3) или прибягват до лепкави бележки, залепени на техните лаптопи. С други думи, в някои случаи изискванията за промяна на паролата всъщност могат да рискуват.

Експертът по сигурността Брус Шнайер посочва, че в повечето случаи днес нападателите няма да бъдат пасивни. Ако получат вход за банковата си сметка, няма да изчакат два месеца да висят, а веднага ще прехвърлят парите от сметката ви. В случай на частни мрежи, хакер може да е по-крадлив и да се придържа към подслушването, но е по-малко вероятно да продължи да използва открадната ви парола и вместо това ще инсталира задния достъп. Редовните промени на паролата няма да допринесат много за нито един от тези случаи. (Разбира се, и в двата случая е изключително важно да промените паролата си веднага щом бъде намерено нарушение на сигурността и нарушителят е блокиран.)

В днешната луда хакерска система, честите промени на паролата са по-малко актуални от всякога. NIST казва, че правилата за изтичане на парола са "без значение за смекчаване на крак", тъй като не само хакерите са изцяло на нашите умни трикове с парола, но и имат по-напреднал хардуер и софтуер:

Като цяло периодите на изтичане на паролата не са от голяма полза за смекчаване на пропукването, тъй като имат толкова малък ефект върху размера на усилието, което един нападател би трябвало да похарчи, в сравнение с ефекта на други елементи на политиката на паролата. Да предположим, че една организация е намалила срока на изтичане на паролата си от 60 дни до 30 дни. Един нападател просто ще трябва да използва два пъти хардуерните ресурси, за да компенсира тази промяна.

Хакерите имат машини, които могат да счупят 348 хеширания на парола NTLM в секунда. (NTLM е алгоритъм за криптиране на паролата, използван в Windows. При 348 милиарда хеша NTLM в секунда всяка 8-знакова парола може да бъде разбита за 5, 5 часа.)

Така че, наистина, промяната на всички пароли на всеки 30 или 90 дни не е много полезна и няма вероятност да увеличи сигурността ви. Това е хубаво нещо, защото много от нас по-скоро биха почистили тоалетната, отколкото да променят паролите си.

Профили, които може да искате да променяте паролите си редовно

Както обикновено е, има и изключения. За някои видове акаунти е по-вероятно хакерите да „слушат“ и мълчаливо да се задържат с месеци, докато не получат важна информация от вас. Шнайер посочва, че ако вашата сестра на дете или пресата на таблоида (ако сте известна знаменитост) например има вашата парола във Facebook, те вероятно ще ви слушат, докато не промените паролата си, което може да е месеци или години, ако никога не разберете за това.

Като цяло това е съветът на Schneier:

Не е необходимо редовно да променяте паролата за вашия компютър или онлайн финансови сметки (включително акаунти в сайтове за търговия на дребно); определено не е за акаунти с ниска сигурност. Трябва да променяте корпоративната си парола за вход от време на време и трябва да разгледате внимателно приятелите, роднините и папараците си, преди да решите колко често да променяте паролата си във Facebook. Но ако се разделите с някой, с когото сте споделили компютър, сменете ги всички.

Бих добавил, че може да обмислите редовно да променяте паролите за сайтове от тип комуникация, които нямат двуфакторна автентификация: По-специално имейл и неща като IM или конферентни услуги. Това са по-удобни за snoop услуги, където хакерите могат да слушат месеци наред, преди да разберете. (От друга страна, трябва да използвате услуга за електронна поща с двуфакторна автентификация, тъй като това е златна мина за хакерите, ако могат да влязат в нея. Вероятно това е най-важният акаунт, който трябва да защитите, заедно с вашия мениджър на пароли и компютър акаунт.) Някои услуги, включително Gmail, Facebook и Dropbox, ви показват активни сесии, така че като обща предпазна мярка можете да проверите тези, за да сте сигурни, че никой друг не влиза в профилите ви.

Над всичко останало: Подобрете сигурността си като цяло

Много по-важно е да изберете уникална парола за всички акаунти - един колкото е възможно по-дълъг - и да засилите всичките си други възможности за защита (двуфакторна автентификация, правите въпросите за възстановяване на парола неприложими и архивиране на всичко), защото в накрая, силните пароли не са достатъчни - независимо колко често ги сменяте.

Ако имате слаби или дублирани пароли навсякъде, определено ги променете възможно най-скоро. Освен това обмислете всяко редовно нарушение на сигурността напомняне за одит и актуализиране не само на паролите ви, но и на настройките ви за сигурност като цяло - ако е необходимо. След всичко това се наслаждавайте на спокойствието, че правите най-доброто, което можете - и си спестете неприятностите от промяна на всички ваши пароли по график.

Любовта,

Goldavelez.com