Зачем менять пароли периодически?

Question

[Pontific]

Периодическая смена паролей часто называется элементарным правилом информационной безопасности, но разве сложный пароль «портится» со временем? Если его подобрали, разве даст злоумышленник жертве время на его смену?

Вот Qiwi кошелёк, например, заставляет постоянно менять пароль и не даёт возможности использовать уже использованный. Зачем это нужно, их служба поддержки мне объяснить не смогла.

Даже Microsoft подсчитала: менять пароли невыгодно.

Как считаете вы, надо менять?

Answer 1

[Игорь Смирнов]

1. Если речь идет об паролях пользователей в организации, то кроме всего прочего смена паролей защищает от ситуаций когда пользователь дает свой пароль другому сотруднику во время болезни или другого чп ( несмотря на то что такое обычно запрещено политикой ИБ организации от таких ситуаций не уйти) если не менять пароли принудительно, то через годик получим ситуацию когда в рамках отдела все знают пароли друг друга.
2. Пользователи имеют печальную привычку использовать один пароль везде — чем в больших мест используется пароль тем больше шансов, что он будет скомпроментирован. Если не менять пароли то вполне может оказаться, что из за взлома «плюшевого» сайта под угрозой оказались аккаунты того же киви, где вполне реальные деньги — дабы избежать лишних проблем они и заставляют менять пароли (чтобы хотя бы на их сайте у пользователей пароли были уникальны) (ИМХО)
3. Как писали выше — брутфорс если пароль никогда не менять то за «неограниченное время» годик другой — пароль всеже можно брутфорснуть (вариант 20-30 несвязных символов не рассматриваем «обычные» пользователи редко такие используют)

PS: не смотря на статью, в своих рекомендациях по политикам — MS по прежнему говорит что пароли должны периодически меняться и не повторяться :)

Answer 2

[Daedmen]

Угнали сегодня — воспользовались отстояв какое-то время: так что менять для праведной паранойи

Answer 3

[cepera_ang]

Это идиотская забава параноиков от ИБ. Теоретически, предполагается, что это повысит защиту на невероятные величины, на практике это создает только неудобства. Нормальный пароль, из десятка символов больше сбутфорсить почти нереально, особенно если есть хоть минимальная защита, типа задержка хотя бы в секунду между вводами пароля. Единственный риск, который можно уменьшить — использование украденного пароля не бесконечное время, а до следующей смены — насколько это актуально — трудно оценить, разве что если кто-то шпионажем заминается, пароль от финансовых систем и тд можно использовать злоумышленнику и за пару секунд. Короче, один минусы — особенно для редко используемых систем — заходишь туда раз в месяц и каждый раз пароль не подходит потому что время менять прошло, сбрасываешь и тп. Один раз видел систему, где надо было каждую неделю менять, и это не банк какой — обычный чат, так если раньше были нормальные пароли у всех, то стали вида пароль1, пароль2, пароль125

Answer 4

[sefus]

Для систем без защиты от брутфорса, менять нужно.
Допустим пароль имеет определенное количество символов, полный перебор которых у злоумышленника занимает год. Если вы не меняете пароль, то через год, аккаунт гарантированно украдут. А если меняете каждый месяц, то вероятность кражи всегда примерно одинакова и она намного меньше.

Comments

[Pontific]

Это кем мне надо быть, чтобы пароль к моему аккаунту брутфорсили месяц?..

[Николай Турнавиотов]

Не Вы так другие люди могут привязать к своей почте амазон/ебей/пейпал/клиентбанк/авторизацию на каком-нить форексе с полмиллиона на счету, или что еще хуже, удалённое управление сервером почтовыми командами, например.

Answer 5

[pavelsh]

А меня в этой ситуации умиляет следующее — частая смена паролей заставляет пользователей писать бумажку и клеить ее на монитор, потому как не могут запомнить «длинный и сложный пароль, в котором есть обязательно буквы в обоих регистрах, цифры и знаки препинания»

Comments

[justvamp]

Или придумывать простую запоминающуюся схему их генерации. В одной организации с подобной политикой (принудительная смена паролей раз в квартал) многие сотрудники пришли к схеме вида seasonname_year (vesna_2014, например), что, собственно, никак не делало систему безопаснее.
Намного эффективнее ОДИН РАЗ заставить пользователя придумать достаточно сложный пароль, попросить его запомнить и нигде больше не использовать.

Answer 6

[Loreweil]

В большинстве случаев это паранойя. Что касается длины пароля, то важна не столько его длина, сколько его энтропия, многие брутфорсы в первую очередь пробегаются по словарям наиболее часто встречаемых паролей и, например пароль AlbertEinshteinIsTheBestScientistEver111 взломать гораздо легче, чем Qhj4bnN5fD.
Кстати, во многих крупных организациях давно решают эту проблему введением двухфакторной аутентификации, то есть сложный длинный пароль хранится на электронном USB-ключе или смарт-карте, доступ к которым, в свою очередь, осуществляется с помощью шестизначного цифрового пин-кода. Получается юзеру чтобы войти в систему нужно иметь USB-ключ и знать пин-код. Из плюсов: отпадает нужда в запоминании диких паролей, смена реального пароля проходит безболезненно для юзера (пин-код ведь можно оставить прежним), так как пароль не вводится с клавиатуры и нет необходимости записывать его на бумажку и прятать под клавиатуру, то снижается риск компрометации пароля. Из минусов: при утере ключа может понадобиться какое-то время на его восстановление, а в некоторых случаях и бумажная волокита (написать заявление на начальника отдела IT и тд).

Answer 7

[Николай Турнавиотов]

А вообще у меня только один пароль меньше 20 символов, остальные за 20. я не знаю ни одного пароля и абракадабру вроде
«HTkveEDk*'VoL»{37RUJKiUpipJuFmAoq[lW})o," помнит исключительно менеджер паролей, база которого автоматически разьезжается по всем авторизованным в облаке машинам с локальной копией + пару копий где-то в оффлайне.
В менеджере прописываю дату смены пароля и стараюсь раз в полгодика все это менять.
Смена всех паролей на все аккаунты занимает максимум полчаса, в случае чего.
так что как-то так.

Comments

[Pontific]

Для шифрации пароля от менеджера паролей в таком случае логично использовать что-нибудь вроде радужной оболочки глаза…

И, кстати, не является ли менеджер паролей той самой корзиной, в которую все яйца?

Такая ситуация — я в дороге, срочно на почту надо зайти. Мне надо как-то открыть на мобильном телефоне этот менеджер?

[Николай Турнавиотов]

У меня на телефоне (WP7.8 Lumia 800) нативно уже авторизованы все основные почтовые аккаунты + все социалки и скайп с аськой.
KeePassX, который юзаю уже черти сколько лет имеет нативный билд под WM6.x, линукса и кажется макоську, так что да, у меня был доступ к базе паролей даже с КПК (зайти на сайт, например). У меня открыт наружу доступ по RDP к домашней почти всегда включённой днём машине в случае надобности. Ну а по хорошему не хватает только MetroUI приложения для полного счастья…

Answer 8

[IrkDesigner]

Все зависит от критичности информации в информационной системе пользователя. Если информация довольно критична и представляет для злоумышленника интерес, продолжительный по времени (к примеру, получение доступа к результатам ведущегося исследования, проектным чертежам и т.д.), то разумнее будет использовать смену пароля. Эта мера поможет избежать «перманентной» утечки информации — в случае компрометации, у пользователя будут скомпрометированы только те рабочие данные, которые были внесены до смены пароля. После смены пароля злоумышленник потеряет доступ к данным пользователя.
В том же случае, если целью злоумышленника является вывод систем из строя или выполнение другой одиночной операции (тот же перевод средств), то смена пароля желательна, но не обязательна. С надежным паролем из полутора десятков символов злоумышленник будет возиться довольно долго, да и то только если будет уверен, что игра стоит свеч.

Answer 9

[ansv]

Пароль можно не только сбрутфорсить. Если включить режим параноика, то:
1. Если пароль используется в нескольких местах, и одно из этих мест хранило его в открытом виде, а потом у них утащили базу паролей, то злоумышленнику станет известен ваш несменяемый пароль.
2. Чем чаще вводится пароль, тем больше вероятность, что кто-то наблюдавший за вводом сможет его запомнить. Причем необязательно запоминать весь пароль — любая полученная информация облегчит брутфорс.
3. Если информация критичная и кто-то ну ОЧЕНЬ хочет на нее посмотреть, то возможен и вариант брутфорса.

Answer 10

[SergeyGrigorev]

Возможно пароли выгодно менять в случае смены компьютера. Например, вы настроили «запоминать пароль», а затем сменили компьютер. Сменить его можно по многим причинам, новое рабочее место, новое «железо для работы с производительными ПО» и т.п. В большинстве случаев, можно просто забыть удалить пароль вручную, т.к. простое удаление программы может оставить предыдущие настройки и после повторной установки просто подхватить их на лету.

Answer 11

[Алексей]

Как раз АльфаКлик сегодня в обязательном порядке снова заставил сменить пароль.

Причем не дают использовать пароль, который я ранее использовал, года два назад.

Answer 12

[kimssster]

Считаю, что должно быть в рамках разумного. А то политикой установлено менять пароль каждые 2 месяца: пароли не повторяются, символы подряд запрещены и т.п., увеличивается уровень ИБ… как бы не так, пользователи не могут запомнить пароли от 3-7 систем в которых работают, в итоге листок с паролями лежит где-то на столе, и никакой брут форс не нужен. А с учетом того что стойкий пароль трудно брутфорсить, актуальность критичной информации за время брутфорсинга, может исчезнуть. Считаю, что 2 факторная аутентификация с сильными паролями эффективнее чем смена паролей каждые 2-3 месяца. И с организационной точки проще, при условии компрометации одного из идентификаторов, блокировка всего профиля.