Je viens de recevoir un e-mail d'un fournisseur nous informant qu'il nous obligerait à changer notre mot de passe tous les six mois.Je suis curieux de voir quelles politiques d'expiration de mot de passe les gens utilisent et pourquoi ils les utilisent.
Il y a une frontière fine entre ne jamais le changer et le changer trop souvent. Avoir les mêmes mots de passe pendant des années n'est souvent pas une bonne solution, surtout s'il est accessible au public. Mais forcer une politique rigide de le changer trop souvent a aussi de mauvais effets secondaires. Un endroit où je travaillais, a forcé tous les utilisateurs du réseau interne à changer de mot de passe toutes les 6 semaines et le mot de passe ne pouvait pas être le même que les six mots de passe précédents. Trois mots de passe erronés ont verrouillé le poste de travail et le personnel informatique a dû le déverrouiller. Ce qui a amené tout le monde à écrire le mot de passe sur des notes Post-It accrochées à l'écran ou placées dans leur tiroir. Cauchemar.
Je dirais que changer le mot de passe tous les 6 mois devrait être suffisant. Cela évitera ces redoutables notes Post-It.
Désolé, mais c'est une réponse stupide. Sur quoi basez-vous vos 6 mois? Si quelqu'un obtient le hachage de votre mot de passe, à moins que vous n'ayez un mot de passe assez fort (ce qui est, en général, peu probable, surtout si vous devez le changer régulièrement), il peut le forcer brutalement hors ligne, et il aura votre mot de passe en quelques jours, pas des semaines ou des mois. Avoir de bons mécanismes de verrouillage temporaire sur vos frontaux empêchera la force brute sous cet angle, et si vos hachages de mot de passe SONT compromis, expirez alors tous les mots de passe.
naught101
11
Je suggérerais d'utiliser un peu de calcul qui tient compte de la complexité minimale de votre mot de passe, de la vitesse à laquelle un attaquant pourrait deviner les mots de passe, du nombre de comptes déverrouillés dont vous disposez et de certaines informations informées sur vos risques.
J'espère que vous avez une sorte de limitation de débit pour la devinette des mots de passe. En règle générale, ce serait via quelque chose qui verrouille temporairement les comptes après un certain nombre de mauvais mots de passe.
Et j'espère que vous avez une sorte d'exigences de complexité de mot de passe afin que "A" et "mot de passe" ne soient pas autorisés.
Supposons qu'après 30 échecs de mot de passe en 10 minutes, vous verrouillez un compte pendant 20 minutes. Cela limite efficacement le taux de devinettes des mots de passe à 174 par heure, soit 4176 par jour. Mais supposons que c'est par utilisateur.
Supposons que vous ayez besoin de mots de passe de plus de 8 caractères contenant des chiffres supérieur, inférieur et un nombre, et que vous effectuez des vérifications de dictionnaire pour vous assurer que ces mots de passe sont raisonnablement aléatoires. Dans le pire des cas, vos utilisateurs mettent tous l'un en haut et un numéro au même endroit et votre attaquant le sait, vous avez donc 10 * 26 ^ 7 (80G) mots de passe possibles. Le meilleur cas est 62 ^ 8 (218T).
Ainsi, un attaquant essayant tous les mots de passe possibles les toucherait tous dans les 50 000 ans dans le pire des cas, et près de 600 millions de millénaires dans le meilleur des cas. Ou, pour le dire autrement, étant donné un an, ils auraient entre 1 sur 50 000 et 1 sur 52 000 000 000 de devinettes. Si vous avez une base d'utilisateurs de 50000, il est presque garanti que dans le pire des cas, ils accèderont à un compte par an et auront environ 50% de chances d'en obtenir un tous les 6 mois.
Et si vous n'aviez aucune limitation de débit et qu'un attaquant pourrait deviner un milliard de mots de passe par jour? Une chance sur 600 d'accéder à un compte en un an, ou une garantie virtuelle d'obtenir environ 80 de vos 50 000 utilisateurs chaque année.
Travaillez sur ce calcul et déterminez où se situe votre niveau de risque acceptable. Et rappelez-vous que plus vous le définissez court, plus il sera difficile pour les utilisateurs de se souvenir et plus ils seront susceptibles de le faire écrire dans un endroit pratique pour un attaquant sur place.
En prime: si quelqu'un essaie des milliers de mots de passe par utilisateur et par jour contre vos systèmes, j'espère vraiment que vous aurez une sorte de surveillance qui captera cela.
EDIT:
J'ai oublié de mentionner: notre politique actuelle est de 90 jours, mais cela a tout à voir avec les conclusions d'auditeurs de sécurité mal avisés et rien à voir avec la réalité.
+1 pour les calculs réels. C'est une meilleure meilleure réponse que celle acceptée.
naught101
4
90 jours semblent être suffisants pour la plupart des scénarios. Ma plus grande préoccupation est la complexité des mots de passe. Plus que le problème de délai dans la génération de post-it, c'est la complexité forcée. C'est une chose d'éviter les mots du dictionnaire et une autre d'avoir des caractères spéciaux, mais lorsque vous commencez à dire qu'aucun caractère ne peut se répéter ou être dans l'ordre croissant / décroissant, vous avez rendu la vie de vos utilisateurs difficile. Ajoutez cela à une courte durée de vie du mot de passe et vous venez d'accueillir plus de problèmes.
L'expiration du mot de passe est ennuyeuse et réduit la sécurité.
L'expiration du mot de passe se défend contre la situation où un attaquant a déjà compromis le mot de passe d'un utilisateur, mais n'a pas de mécanisme pour savoir ce qu'il est en permanence (par exemple, enregistreur de frappe)
Cependant, il est également plus difficile de se souvenir des mots de passe, ce qui rend plus probable que les utilisateurs les écrivent.
Comme il n'est pas vraiment nécessaire de se défendre contre un mot de passe déjà compromis (vous l'espérez), je considère que l'expiration du mot de passe est inutile.
Demandez aux utilisateurs de choisir un mot de passe fort pour commencer; encouragez-les à s'en souvenir, puis ne les obligez jamais à le changer, sinon ils finiront par les écrire partout.
Si vous avez un appareil qui a besoin de garanties de sécurité "élevées à ultra élevées", il vaut mieux utiliser un jeton matériel qui génère des mots de passe à usage unique au lieu de compter sur l'expiration des mots de passe.
La principale «victoire» pour un système d'expiration de mot de passe est que vous aurez éventuellement un compte désactivé si le titulaire du compte quitte l'organisation, comme un «chèque et solde» supplémentaire à «le compte devrait être désactivé lorsque le titulaire du compte feuilles".
L'application de l'expiration des mots de passe conduit, au mieux, à des mots de passe de haute qualité écrits et, dans le pire des cas, à de mauvais mots de passe (sur un lieu de travail précédent, une fois que nous avons été obligés d'utiliser l'expiration des mots de passe, j'ai fini par utiliser (essentiellement) prefixJan2003, prefixFeb2003, etc.) sur, car ma méthode préférée de génération de mots de passe (48 bits aléatoires, encodés en Base64) ne s'adapte pas aux "nouveaux mots de passe chaque mois").
Je pense que si vous posez cette question à 10 professionnels de la sécurité différents, vous obtiendrez 10 réponses différentes.
Cela dépend en grande partie de l'importance du bien que le mot de passe protège.
Si vous disposez d'un actif hautement sécurisé, vous devez définir votre politique d'expiration de mot de passe suffisamment courte pour que tout intrus extérieur n'ait pas le temps de forcer brutalement un mot de passe. Une autre variable dans cette situation est le niveau de complexité requis sur les mots de passe.
Pour les systèmes à sécurité faible à moyenne, je pense qu'une politique d'expiration de 6 mois est très juste.
Pour une sécurité de haut niveau, je pense qu'un mois serait mieux - et pour des installations «ultra» sécurisées, des délais encore plus courts seraient attendus.
Cela n'a pas beaucoup de sens - étant donné un mot de passe sécurisé (aléatoire) de longueur raisonnable, dans quel scénario raisonnable ce mot de passe serait-il forcé en 6 mois, mais pas un? S'il s'agit d'une attaque en ligne, pourquoi votre surveillance n'a-t-elle pas remarqué des milliards de connexions infructueuses; s'il s'agit d'une attaque hors ligne, ils pourraient simplement obtenir 6 fois plus de puissance de calcul.
derobert
Cela a beaucoup de sens. Si un attaquant obtient le fichier de mot de passe chiffré, il dispose de beaucoup plus de temps pour exécuter l'attaque (en supposant une attaque hors ligne). Et comme vous le diriez, ils auraient besoin de 6 fois le matériel - ce qui n'est pas anodin, surtout s'il s'agit d'un attaquant `` décontracté '' et pas de quelqu'un qui est déterminé à déchiffrer les mots de passe à tout prix, ce qui, à mon avis, n'est pas la situation typique dans un système de sécurité faible à moyen.
Dave Drager
1
Nous imposons une expiration de mot de passe de 90 jours à tout le monde ici (y compris nous-mêmes).
Principalement parce que ce sont simplement les meilleures pratiques. Les chances que quelqu'un utilise un mot de passe "faible" par rapport à un mot de passe plus fort sont plus grandes et plus vous le laissez longtemps, cela pourrait entraîner une violation de la sécurité à long terme et non détectée.
Mais forcer un utilisateur non technique à changer son mot de passe améliore-t-il fréquemment la sécurité ou l'abaisse-t-il, en obligeant l'utilisateur à écrire son mot de passe actuel? Je serais intéressé par des discussions sur ce sujet.
David Pashley
1
Sur le site de mon client actuel, en passant devant le bureau des travailleurs non techniques, je découvre une note post-it sur une note post-it de mots de passe. C'est dans un environnement de 90 jours. Les exigences de complexité sont minimes: 8 caractères ou plus, alphanumérique mixte. Je frissonne à chaque fois que je vois du papier de couleur fluorescent près d'un moniteur maintenant.
Rob Allen
4
C'est un de mes intérêts de recherche. Je crois que la sécurité concerne autant la formation des utilisateurs et la psychologie que les exigences techniques de sécurité. L'installation la plus sécurisée peut être compromise par des pratiques dangereuses pour l'utilisateur final ou même les administrateurs!
Dave Drager
2
Une tactique prise à notre bureau à domicile par notre gars de l'infrastructure le plus âgé a été de suggérer l'utilisation de phrases drôles pour les mots de passe pour les gens non orientés technologie. Je pense que son exemple était "IHateHavingToResetMyPasswordEvery45Days", ce qui est certainement facile à retenir.
Rob Allen
2
Vous voudrez peut-être les informer que s’ils l’écrivent, ils devraient (a) ne pas l’écrire avec le nom d’utilisateur, la société, etc.; (b) l'emporter avec eux, par exemple dans leur portefeuille ou leur sac à main, (c) peut-être imprimer une petite feuille entière de mots de passe aléatoires, et ne se rappeler que de laquelle il s'agit. En fait, je suppose que si vos utilisateurs faisaient (a) à (c), ils pourraient alors utiliser des mots de passe complètement aléatoires de 10+ caractères, et la sécurité globale serait améliorée par rapport à ne pas écrire les mots de passe.
derobert
1
Nous expirons les mots de passe chaque année et exigeons des mots de passe forts (de préférence aléatoires) de plus de 10 caractères. Nous exécutons des attaques par dictionnaire sur les mots de passe des gens lorsqu'ils les changent. Nous conservons les hachages de mot de passe antérieurs afin que les mots de passe ne puissent pas être réutilisés. Nous vérifions également les dates potentielles dans le mot de passe, comme l'a dit vatine. ;) Le dernier était mon ajout ...
Lors d'un ancien emploi, nous avons essayé d'expirer plus fréquemment à la demande d'un nouvel administrateur de sécurité réseau - tous les deux mois. Deux semaines après le premier changement forcé, je l'ai emmené dans nos bureaux administratifs et nous avons regardé sous les claviers et les tapis de souris des gens. Plus de 50% d'entre eux avaient un mot de passe écrit sur un post-it en dessous. Il était heureux d'assouplir la politique après que nous nous sommes assis et avons parlé au personnel administratif - leur opinion était qu'ils ne l'avaient pas assez longtemps pour mémoriser.
La plupart de nos activités de nos jours consistent en une authentification unique dans quelques silos. Les ressources du campus (rarement utilisées pour la plupart des gens) sont regroupées dans un seul silo et ce mot de passe est géré par notre groupe informatique central. Les ressources ministérielles (utilisées quotidiennement - connexion à la machine, courrier électronique, modification du site Web, photocopieur) sont un mot de passe géré par notre groupe, également arrivé à expiration chaque année. Si les gens se plaignent d'être frustrés, nous soulignons qu'ils n'ont vraiment qu'un seul mot de passe à retenir.
Ces jours-ci, je génère une somme md5 sur un fichier aléatoire dans / var / log et j'utilise un sous-ensemble de cela pour mes mots de passe.
Nous avons eu beaucoup de discussions à ce sujet il y a quelques années lorsque nous avons commencé une politique d'expiration des mots de passe. Nous venions de terminer une course l0phcract avec des tables arc-en-ciel contre l'arbre AD pour voir à quel point c'était mauvais, et c'était assez horrible. Un nombre impressionnant d'utilisateurs ont toujours utilisé leur mot de passe "helpdesk temp" après avoir appelé / abandonné pour une réinitialisation de mot de passe, quelque chose d'horrible comme 30% a utilisé "mot de passe" ou une variante comme mot de passe (p @ $$ w0rd, etc.) . Cela a convaincu la direction que cela devait se produire.
En étant plus éduqués, nous avons dû affronter l'été lors de la sélection d'un intervalle. Beaucoup de nos professeurs n'enseignent pas pendant l'été, donc notre service d'assistance a dû se préparer pour les appels "J'ai oublié mon mot de passe" car ils reviennent tous en septembre. Je pense, et je me trompe peut-être, que notre intervalle est de 6 mois à l'exception du trimestre d'été. Donc, si l'expiration de votre mot de passe 6mo expire à la mi-août, il serait reprogrammé au hasard pour être réinitialisé de fin septembre à début octobre.
Une meilleure question est de savoir à quelle fréquence votre compte utilitaire et vos mots de passe administrateur sont tournés. Trop souvent, ceux-ci semblent être exemptés des politiques de changement de mot de passe. Qui veut parcourir tous ces scripts pour un changement de mot de passe de compte utilitaire? Et certains systèmes de sauvegarde rendent difficile le changement des mots de passe utilisés, ce qui dissuade de changer les mots de passe administrateur.
Comment l'expiration du mot de passe aide-t-elle avec une mauvaise qualité de mot de passe? (Bien que je puisse certainement voir la définition des mots de passe de réinitialisation du helpdesk comme expirant à la prochaine connexion. Ou tout simplement demander au helpdesk de générer des mots de passe aléatoires)
derobert
Notre processus de changement de mot de passe comprend également des contrôles de qualité. Donc, cela n'aide pas directement, mais lorsqu'ils sont utilisés conjointement avec des contrôles de qualité, ils augmentent tous les deux la résilience aux attaques.
sysadmin1138
0
Un problème majeur avec l'expiration fréquente des mots de passe est que les gens auront du mal à s'en souvenir, donc vous aurez des gens qui utilisent des mots de passe faibles ou similaires, ou si votre politique ne le permet pas, ils commenceront à écrire les mots de passe pour aider à les mémoriser . Vous aurez également plus de demandes de changement de mot de passe, lorsque les gens les oublieront.
Personnellement, cela dépend de l'utilisation du mot de passe, mais j'ai tendance à ne pas conserver un mot de passe plus de 3 mois, sauf s'il s'agit d'un compte jetable complet. Pour les choses à risque plus élevé, chaque mois est bon, et changez-le avec défi si quelqu'un d'autre qui le sait s'en va. Étant donné que je travaille dans une petite entreprise de support informatique, nous avons plusieurs mots de passe partagés entre de nombreuses personnes, nous ne voulons donc pas les changer très souvent, en raison des perturbations que cela peut provoquer.
Commentaires intéressants jusqu'à présent. Bien sûr, pourquoi est-il toujours débattu que la mémorisation des mots de passe est un problème technique par rapport au personnel non technique dans une entreprise? Qu'est-ce que la capacité de quelqu'un avec du matériel / logiciel informatique a quelque chose à voir avec sa capacité à prendre la sécurité au sérieux? Une personne non technique donnera-t-elle son numéro de carte de crédit ou de débit? En outre, les personnes qui placent des mots de passe sur des post-it sur leur bureau devraient être des motifs de licenciement. C'est incroyable de voir comment la mémoire des gens s'améliorera lorsqu'ils se rendront compte que la sécurité est importante et doit être prise au sérieux. Je ne vois pas différent du rôle des codes vestimentaires et des politiques de conduite au travail. Suivez les règles ou au revoir!
Je pense qu'avoir un mot de passe plus sécurisé est beaucoup plus important que de le changer fréquemment, mais les deux sont absolument nécessaires pour un système sécurisé.
L'argument est que les mots de passe complexes sont difficiles à retenir et conduisent les employés à les écrire. Ma conviction à ce sujet est que la grande majorité des attaques proviennent de l'extérieur , et même écrire un mot de passe complexe et le coller sur votre moniteur est plus sûr que d'avoir un simple mot de passe mémorisé.
En fait, la grande majorité des attaques sur notre lieu de travail proviennent d'étudiants entrant par effraction dans des bureaux pour tenter d'accéder à des tests ou de changer de notes. Dans les postes précédents (non universitaires), la grande majorité des attaques provenaient de l'ingénierie sociale.
Karl Katzke
La plupart des utilisateurs ont leurs noms sur une plaque signalétique à l'extérieur de leurs bureaux. Trouver la norme d'entreprise dans les noms d'utilisateur n'est pas si difficile - alors faire correspondre la plaque signalétique sur la porte au mot de passe sous le clavier devient trivial. En outre, vous devez vous méfier des administrateurs qui mettent leurs mots de passe sous leur clavier ....
Mei
0
J'implémente une authentification ponctuelle et basée sur des jetons temporels, donc, en théorie, chaque fois que l'utilisateur se connecte.
Bien que cela soit sans doute hors sujet, un bloc-notes unique semble être une solution supérieure.
De même, et plus fondamentalement, s'assurer que l'utilisateur crée un mot de passe fort et comprend l'éthique derrière votre politique de sécurité (ne l'écrivez pas, ne faites pas votre anniversaire, ne le donnez à personne) ira beaucoup plus loin que de simplement les forcer à le changer tous les n intervalles de temps.
Réponses:
Il y a une frontière fine entre ne jamais le changer et le changer trop souvent. Avoir les mêmes mots de passe pendant des années n'est souvent pas une bonne solution, surtout s'il est accessible au public. Mais forcer une politique rigide de le changer trop souvent a aussi de mauvais effets secondaires. Un endroit où je travaillais, a forcé tous les utilisateurs du réseau interne à changer de mot de passe toutes les 6 semaines et le mot de passe ne pouvait pas être le même que les six mots de passe précédents. Trois mots de passe erronés ont verrouillé le poste de travail et le personnel informatique a dû le déverrouiller. Ce qui a amené tout le monde à écrire le mot de passe sur des notes Post-It accrochées à l'écran ou placées dans leur tiroir. Cauchemar.
Je dirais que changer le mot de passe tous les 6 mois devrait être suffisant. Cela évitera ces redoutables notes Post-It.
la source
Je suggérerais d'utiliser un peu de calcul qui tient compte de la complexité minimale de votre mot de passe, de la vitesse à laquelle un attaquant pourrait deviner les mots de passe, du nombre de comptes déverrouillés dont vous disposez et de certaines informations informées sur vos risques.
J'espère que vous avez une sorte de limitation de débit pour la devinette des mots de passe. En règle générale, ce serait via quelque chose qui verrouille temporairement les comptes après un certain nombre de mauvais mots de passe.
Et j'espère que vous avez une sorte d'exigences de complexité de mot de passe afin que "A" et "mot de passe" ne soient pas autorisés.
Supposons qu'après 30 échecs de mot de passe en 10 minutes, vous verrouillez un compte pendant 20 minutes. Cela limite efficacement le taux de devinettes des mots de passe à 174 par heure, soit 4176 par jour. Mais supposons que c'est par utilisateur.
Supposons que vous ayez besoin de mots de passe de plus de 8 caractères contenant des chiffres supérieur, inférieur et un nombre, et que vous effectuez des vérifications de dictionnaire pour vous assurer que ces mots de passe sont raisonnablement aléatoires. Dans le pire des cas, vos utilisateurs mettent tous l'un en haut et un numéro au même endroit et votre attaquant le sait, vous avez donc 10 * 26 ^ 7 (80G) mots de passe possibles. Le meilleur cas est 62 ^ 8 (218T).
Ainsi, un attaquant essayant tous les mots de passe possibles les toucherait tous dans les 50 000 ans dans le pire des cas, et près de 600 millions de millénaires dans le meilleur des cas. Ou, pour le dire autrement, étant donné un an, ils auraient entre 1 sur 50 000 et 1 sur 52 000 000 000 de devinettes. Si vous avez une base d'utilisateurs de 50000, il est presque garanti que dans le pire des cas, ils accèderont à un compte par an et auront environ 50% de chances d'en obtenir un tous les 6 mois.
Et si vous n'aviez aucune limitation de débit et qu'un attaquant pourrait deviner un milliard de mots de passe par jour? Une chance sur 600 d'accéder à un compte en un an, ou une garantie virtuelle d'obtenir environ 80 de vos 50 000 utilisateurs chaque année.
Travaillez sur ce calcul et déterminez où se situe votre niveau de risque acceptable. Et rappelez-vous que plus vous le définissez court, plus il sera difficile pour les utilisateurs de se souvenir et plus ils seront susceptibles de le faire écrire dans un endroit pratique pour un attaquant sur place.
En prime: si quelqu'un essaie des milliers de mots de passe par utilisateur et par jour contre vos systèmes, j'espère vraiment que vous aurez une sorte de surveillance qui captera cela.
EDIT: J'ai oublié de mentionner: notre politique actuelle est de 90 jours, mais cela a tout à voir avec les conclusions d'auditeurs de sécurité mal avisés et rien à voir avec la réalité.
la source
90 jours semblent être suffisants pour la plupart des scénarios. Ma plus grande préoccupation est la complexité des mots de passe. Plus que le problème de délai dans la génération de post-it, c'est la complexité forcée. C'est une chose d'éviter les mots du dictionnaire et une autre d'avoir des caractères spéciaux, mais lorsque vous commencez à dire qu'aucun caractère ne peut se répéter ou être dans l'ordre croissant / décroissant, vous avez rendu la vie de vos utilisateurs difficile. Ajoutez cela à une courte durée de vie du mot de passe et vous venez d'accueillir plus de problèmes.
la source
L'expiration du mot de passe est ennuyeuse et réduit la sécurité.
L'expiration du mot de passe se défend contre la situation où un attaquant a déjà compromis le mot de passe d'un utilisateur, mais n'a pas de mécanisme pour savoir ce qu'il est en permanence (par exemple, enregistreur de frappe)
Cependant, il est également plus difficile de se souvenir des mots de passe, ce qui rend plus probable que les utilisateurs les écrivent.
Comme il n'est pas vraiment nécessaire de se défendre contre un mot de passe déjà compromis (vous l'espérez), je considère que l'expiration du mot de passe est inutile.
Demandez aux utilisateurs de choisir un mot de passe fort pour commencer; encouragez-les à s'en souvenir, puis ne les obligez jamais à le changer, sinon ils finiront par les écrire partout.
la source
Si vous avez un appareil qui a besoin de garanties de sécurité "élevées à ultra élevées", il vaut mieux utiliser un jeton matériel qui génère des mots de passe à usage unique au lieu de compter sur l'expiration des mots de passe.
La principale «victoire» pour un système d'expiration de mot de passe est que vous aurez éventuellement un compte désactivé si le titulaire du compte quitte l'organisation, comme un «chèque et solde» supplémentaire à «le compte devrait être désactivé lorsque le titulaire du compte feuilles".
L'application de l'expiration des mots de passe conduit, au mieux, à des mots de passe de haute qualité écrits et, dans le pire des cas, à de mauvais mots de passe (sur un lieu de travail précédent, une fois que nous avons été obligés d'utiliser l'expiration des mots de passe, j'ai fini par utiliser (essentiellement) prefixJan2003, prefixFeb2003, etc.) sur, car ma méthode préférée de génération de mots de passe (48 bits aléatoires, encodés en Base64) ne s'adapte pas aux "nouveaux mots de passe chaque mois").
la source
Je pense que si vous posez cette question à 10 professionnels de la sécurité différents, vous obtiendrez 10 réponses différentes.
Cela dépend en grande partie de l'importance du bien que le mot de passe protège.
Si vous disposez d'un actif hautement sécurisé, vous devez définir votre politique d'expiration de mot de passe suffisamment courte pour que tout intrus extérieur n'ait pas le temps de forcer brutalement un mot de passe. Une autre variable dans cette situation est le niveau de complexité requis sur les mots de passe.
Pour les systèmes à sécurité faible à moyenne, je pense qu'une politique d'expiration de 6 mois est très juste.
Pour une sécurité de haut niveau, je pense qu'un mois serait mieux - et pour des installations «ultra» sécurisées, des délais encore plus courts seraient attendus.
la source
Nous imposons une expiration de mot de passe de 90 jours à tout le monde ici (y compris nous-mêmes).
Principalement parce que ce sont simplement les meilleures pratiques. Les chances que quelqu'un utilise un mot de passe "faible" par rapport à un mot de passe plus fort sont plus grandes et plus vous le laissez longtemps, cela pourrait entraîner une violation de la sécurité à long terme et non détectée.
la source
Nous expirons les mots de passe chaque année et exigeons des mots de passe forts (de préférence aléatoires) de plus de 10 caractères. Nous exécutons des attaques par dictionnaire sur les mots de passe des gens lorsqu'ils les changent. Nous conservons les hachages de mot de passe antérieurs afin que les mots de passe ne puissent pas être réutilisés. Nous vérifions également les dates potentielles dans le mot de passe, comme l'a dit vatine. ;) Le dernier était mon ajout ...
Lors d'un ancien emploi, nous avons essayé d'expirer plus fréquemment à la demande d'un nouvel administrateur de sécurité réseau - tous les deux mois. Deux semaines après le premier changement forcé, je l'ai emmené dans nos bureaux administratifs et nous avons regardé sous les claviers et les tapis de souris des gens. Plus de 50% d'entre eux avaient un mot de passe écrit sur un post-it en dessous. Il était heureux d'assouplir la politique après que nous nous sommes assis et avons parlé au personnel administratif - leur opinion était qu'ils ne l'avaient pas assez longtemps pour mémoriser.
La plupart de nos activités de nos jours consistent en une authentification unique dans quelques silos. Les ressources du campus (rarement utilisées pour la plupart des gens) sont regroupées dans un seul silo et ce mot de passe est géré par notre groupe informatique central. Les ressources ministérielles (utilisées quotidiennement - connexion à la machine, courrier électronique, modification du site Web, photocopieur) sont un mot de passe géré par notre groupe, également arrivé à expiration chaque année. Si les gens se plaignent d'être frustrés, nous soulignons qu'ils n'ont vraiment qu'un seul mot de passe à retenir.
Ces jours-ci, je génère une somme md5 sur un fichier aléatoire dans / var / log et j'utilise un sous-ensemble de cela pour mes mots de passe.
la source
Nous avons eu beaucoup de discussions à ce sujet il y a quelques années lorsque nous avons commencé une politique d'expiration des mots de passe. Nous venions de terminer une course l0phcract avec des tables arc-en-ciel contre l'arbre AD pour voir à quel point c'était mauvais, et c'était assez horrible. Un nombre impressionnant d'utilisateurs ont toujours utilisé leur mot de passe "helpdesk temp" après avoir appelé / abandonné pour une réinitialisation de mot de passe, quelque chose d'horrible comme 30% a utilisé "mot de passe" ou une variante comme mot de passe (p @ $$ w0rd, etc.) . Cela a convaincu la direction que cela devait se produire.
En étant plus éduqués, nous avons dû affronter l'été lors de la sélection d'un intervalle. Beaucoup de nos professeurs n'enseignent pas pendant l'été, donc notre service d'assistance a dû se préparer pour les appels "J'ai oublié mon mot de passe" car ils reviennent tous en septembre. Je pense, et je me trompe peut-être, que notre intervalle est de 6 mois à l'exception du trimestre d'été. Donc, si l'expiration de votre mot de passe 6mo expire à la mi-août, il serait reprogrammé au hasard pour être réinitialisé de fin septembre à début octobre.
Une meilleure question est de savoir à quelle fréquence votre compte utilitaire et vos mots de passe administrateur sont tournés. Trop souvent, ceux-ci semblent être exemptés des politiques de changement de mot de passe. Qui veut parcourir tous ces scripts pour un changement de mot de passe de compte utilitaire? Et certains systèmes de sauvegarde rendent difficile le changement des mots de passe utilisés, ce qui dissuade de changer les mots de passe administrateur.
la source
Un problème majeur avec l'expiration fréquente des mots de passe est que les gens auront du mal à s'en souvenir, donc vous aurez des gens qui utilisent des mots de passe faibles ou similaires, ou si votre politique ne le permet pas, ils commenceront à écrire les mots de passe pour aider à les mémoriser . Vous aurez également plus de demandes de changement de mot de passe, lorsque les gens les oublieront.
Personnellement, cela dépend de l'utilisation du mot de passe, mais j'ai tendance à ne pas conserver un mot de passe plus de 3 mois, sauf s'il s'agit d'un compte jetable complet. Pour les choses à risque plus élevé, chaque mois est bon, et changez-le avec défi si quelqu'un d'autre qui le sait s'en va. Étant donné que je travaille dans une petite entreprise de support informatique, nous avons plusieurs mots de passe partagés entre de nombreuses personnes, nous ne voulons donc pas les changer très souvent, en raison des perturbations que cela peut provoquer.
la source
Commentaires intéressants jusqu'à présent. Bien sûr, pourquoi est-il toujours débattu que la mémorisation des mots de passe est un problème technique par rapport au personnel non technique dans une entreprise? Qu'est-ce que la capacité de quelqu'un avec du matériel / logiciel informatique a quelque chose à voir avec sa capacité à prendre la sécurité au sérieux? Une personne non technique donnera-t-elle son numéro de carte de crédit ou de débit? En outre, les personnes qui placent des mots de passe sur des post-it sur leur bureau devraient être des motifs de licenciement. C'est incroyable de voir comment la mémoire des gens s'améliorera lorsqu'ils se rendront compte que la sécurité est importante et doit être prise au sérieux. Je ne vois pas différent du rôle des codes vestimentaires et des politiques de conduite au travail. Suivez les règles ou au revoir!
la source
Je pense qu'avoir un mot de passe plus sécurisé est beaucoup plus important que de le changer fréquemment, mais les deux sont absolument nécessaires pour un système sécurisé.
L'argument est que les mots de passe complexes sont difficiles à retenir et conduisent les employés à les écrire. Ma conviction à ce sujet est que la grande majorité des attaques proviennent de l'extérieur , et même écrire un mot de passe complexe et le coller sur votre moniteur est plus sûr que d'avoir un simple mot de passe mémorisé.
la source
J'implémente une authentification ponctuelle et basée sur des jetons temporels, donc, en théorie, chaque fois que l'utilisateur se connecte.
Bien que cela soit sans doute hors sujet, un bloc-notes unique semble être une solution supérieure.
De même, et plus fondamentalement, s'assurer que l'utilisateur crée un mot de passe fort et comprend l'éthique derrière votre politique de sécurité (ne l'écrivez pas, ne faites pas votre anniversaire, ne le donnez à personne) ira beaucoup plus loin que de simplement les forcer à le changer tous les n intervalles de temps.
la source