Зачем менять пароли периодически?

Периодическая смена паролей часто называется элементарным правилом информационной безопасности, но разве сложный пароль «портится» со временем? Если его подобрали, разве даст злоумышленник жертве время на его смену?

Вот Qiwi кошелёк, например, заставляет постоянно менять пароль и не даёт возможности использовать уже использованный. Зачем это нужно, их служба поддержки мне объяснить не смогла.

Даже Microsoft подсчитала: менять пароли невыгодно.

Как считаете вы, надо менять?
  • Вопрос задан
  • 14780 просмотров
Решения вопроса 1
1. Если речь идет об паролях пользователей в организации, то кроме всего прочего смена паролей защищает от ситуаций когда пользователь дает свой пароль другому сотруднику во время болезни или другого чп ( несмотря на то что такое обычно запрещено политикой ИБ организации от таких ситуаций не уйти) если не менять пароли принудительно, то через годик получим ситуацию когда в рамках отдела все знают пароли друг друга.
2. Пользователи имеют печальную привычку использовать один пароль везде — чем в больших мест используется пароль тем больше шансов, что он будет скомпроментирован. Если не менять пароли то вполне может оказаться, что из за взлома «плюшевого» сайта под угрозой оказались аккаунты того же киви, где вполне реальные деньги — дабы избежать лишних проблем они и заставляют менять пароли (чтобы хотя бы на их сайте у пользователей пароли были уникальны) (ИМХО)
3. Как писали выше — брутфорс если пароль никогда не менять то за «неограниченное время» годик другой — пароль всеже можно брутфорснуть (вариант 20-30 несвязных символов не рассматриваем «обычные» пользователи редко такие используют)

PS: не смотря на статью, в своих рекомендациях по политикам — MS по прежнему говорит что пароли должны периодически меняться и не повторяться :)
Ответ написан
Пригласить эксперта
Ответы на вопрос 11
Daedmen
@Daedmen
Угнали сегодня — воспользовались отстояв какое-то время: так что менять для праведной паранойи
Ответ написан
@cepera_ang
Это идиотская забава параноиков от ИБ. Теоретически, предполагается, что это повысит защиту на невероятные величины, на практике это создает только неудобства. Нормальный пароль, из десятка символов больше сбутфорсить почти нереально, особенно если есть хоть минимальная защита, типа задержка хотя бы в секунду между вводами пароля. Единственный риск, который можно уменьшить — использование украденного пароля не бесконечное время, а до следующей смены — насколько это актуально — трудно оценить, разве что если кто-то шпионажем заминается, пароль от финансовых систем и тд можно использовать злоумышленнику и за пару секунд. Короче, один минусы — особенно для редко используемых систем — заходишь туда раз в месяц и каждый раз пароль не подходит потому что время менять прошло, сбрасываешь и тп. Один раз видел систему, где надо было каждую неделю менять, и это не банк какой — обычный чат, так если раньше были нормальные пароли у всех, то стали вида пароль1, пароль2, пароль125
Ответ написан
sefus
@sefus
Для систем без защиты от брутфорса, менять нужно.
Допустим пароль имеет определенное количество символов, полный перебор которых у злоумышленника занимает год. Если вы не меняете пароль, то через год, аккаунт гарантированно украдут. А если меняете каждый месяц, то вероятность кражи всегда примерно одинакова и она намного меньше.
Ответ написан
@pavelsh
А меня в этой ситуации умиляет следующее — частая смена паролей заставляет пользователей писать бумажку и клеить ее на монитор, потому как не могут запомнить «длинный и сложный пароль, в котором есть обязательно буквы в обоих регистрах, цифры и знаки препинания»
Ответ написан
@Loreweil
В большинстве случаев это паранойя. Что касается длины пароля, то важна не столько его длина, сколько его энтропия, многие брутфорсы в первую очередь пробегаются по словарям наиболее часто встречаемых паролей и, например пароль AlbertEinshteinIsTheBestScientistEver111 взломать гораздо легче, чем Qhj4bnN5fD.
Кстати, во многих крупных организациях давно решают эту проблему введением двухфакторной аутентификации, то есть сложный длинный пароль хранится на электронном USB-ключе или смарт-карте, доступ к которым, в свою очередь, осуществляется с помощью шестизначного цифрового пин-кода. Получается юзеру чтобы войти в систему нужно иметь USB-ключ и знать пин-код. Из плюсов: отпадает нужда в запоминании диких паролей, смена реального пароля проходит безболезненно для юзера (пин-код ведь можно оставить прежним), так как пароль не вводится с клавиатуры и нет необходимости записывать его на бумажку и прятать под клавиатуру, то снижается риск компрометации пароля. Из минусов: при утере ключа может понадобиться какое-то время на его восстановление, а в некоторых случаях и бумажная волокита (написать заявление на начальника отдела IT и тд).
Ответ написан
foxmuldercp
@foxmuldercp
Системный администратор, программист, фотограф
А вообще у меня только один пароль меньше 20 символов, остальные за 20. я не знаю ни одного пароля и абракадабру вроде
«HTkveEDk*'VoL»{37RUJKiUpipJuFmAoq[lW})o," помнит исключительно менеджер паролей, база которого автоматически разьезжается по всем авторизованным в облаке машинам с локальной копией + пару копий где-то в оффлайне.
В менеджере прописываю дату смены пароля и стараюсь раз в полгодика все это менять.
Смена всех паролей на все аккаунты занимает максимум полчаса, в случае чего.
так что как-то так.
Ответ написан
@IrkDesigner
Все зависит от критичности информации в информационной системе пользователя. Если информация довольно критична и представляет для злоумышленника интерес, продолжительный по времени (к примеру, получение доступа к результатам ведущегося исследования, проектным чертежам и т.д.), то разумнее будет использовать смену пароля. Эта мера поможет избежать «перманентной» утечки информации — в случае компрометации, у пользователя будут скомпрометированы только те рабочие данные, которые были внесены до смены пароля. После смены пароля злоумышленник потеряет доступ к данным пользователя.
В том же случае, если целью злоумышленника является вывод систем из строя или выполнение другой одиночной операции (тот же перевод средств), то смена пароля желательна, но не обязательна. С надежным паролем из полутора десятков символов злоумышленник будет возиться довольно долго, да и то только если будет уверен, что игра стоит свеч.
Ответ написан
@ansv
Пароль можно не только сбрутфорсить. Если включить режим параноика, то:
1. Если пароль используется в нескольких местах, и одно из этих мест хранило его в открытом виде, а потом у них утащили базу паролей, то злоумышленнику станет известен ваш несменяемый пароль.
2. Чем чаще вводится пароль, тем больше вероятность, что кто-то наблюдавший за вводом сможет его запомнить. Причем необязательно запоминать весь пароль — любая полученная информация облегчит брутфорс.
3. Если информация критичная и кто-то ну ОЧЕНЬ хочет на нее посмотреть, то возможен и вариант брутфорса.
Ответ написан
@SergeyGrigorev
Возможно пароли выгодно менять в случае смены компьютера. Например, вы настроили «запоминать пароль», а затем сменили компьютер. Сменить его можно по многим причинам, новое рабочее место, новое «железо для работы с производительными ПО» и т.п. В большинстве случаев, можно просто забыть удалить пароль вручную, т.к. простое удаление программы может оставить предыдущие настройки и после повторной установки просто подхватить их на лету.
Ответ написан
Sterhel
@Sterhel
Как раз АльфаКлик сегодня в обязательном порядке снова заставил сменить пароль.

Причем не дают использовать пароль, который я ранее использовал, года два назад.
Ответ написан
kimssster
@kimssster
Считаю, что должно быть в рамках разумного. А то политикой установлено менять пароль каждые 2 месяца: пароли не повторяются, символы подряд запрещены и т.п., увеличивается уровень ИБ… как бы не так, пользователи не могут запомнить пароли от 3-7 систем в которых работают, в итоге листок с паролями лежит где-то на столе, и никакой брут форс не нужен. А с учетом того что стойкий пароль трудно брутфорсить, актуальность критичной информации за время брутфорсинга, может исчезнуть. Считаю, что 2 факторная аутентификация с сильными паролями эффективнее чем смена паролей каждые 2-3 месяца. И с организационной точки проще, при условии компрометации одного из идентификаторов, блокировка всего профиля.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы