Как называется практика периодической смены паролей? Есть умное слово?

Question

[Илья лук]

А точнее нужно как то обосновать смену пароля по красивше.
Что-то типо: "Периодическая смена пароля это нормальная практика приплюпинг менеджемнт-а" ну или как то так.

Comments

[John Smith]

https://securityboulevard.com/2019/06/eliminating-...
https://www.ftc.gov/news-events/blogs/techftc/2016...

Периодическая смена паролей может не улучшать, а ухудшать безопасность. Так что подумайте - а нужно ли это обосновывать?

На языке пользователей такая практика называется по-разному:
- @#%!, опять эти #$@&$^ пароль менять требуют!
- так, какой там пароль у меня был до предыдущей смены? Вот мой листочек со старыми паролями, сейчас найдем
- ну вот, пора записывать новый пароль на стикер и постить на монитор
- в этот раз надо придумать какую-нибудь фигню попроще
- ок, concatenate(%old_password%;"2")

Та же фигня относится и к требования по максимуму длины (не длиннее x), и к обязательному наличию различных групп символов в пароле (uppercase\lowercase\numbers\punctuation), и к запрету на повторы символов.

Что действительно нужно делать:
- запретить слишком короткие пароли
- при смене пароля сверять его с базой скомпрометированных
- менять только когда есть основания подозревать компроментацию

[xmoonlight]

John Smith, я б задумался над вопросом...

[John Smith]

Собственно, вот рекомендации не овоща с бугра, а самого NIST'а:

Verifiers SHOULD NOT impose other composition rules (e.g., requiring mixtures of different character types or prohibiting consecutively repeated characters) for memorized secrets. Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.

Собственно, политику паролей имеет смысл формировать на базе этого документа, обработав напильником под вашу ситуацию. И аргументировать будет проще, ссылкой на авторитет (аргументация не лучшая, но обычно срабатывает).
https://pages.nist.gov/800-63-3/sp800-63b.html#req...

[Akina]

нужно как то обосновать смену пароля

Вы сами собираетесь их менять и выдавать юзерам? заколебётесь, причём достаточно быстро. Но ещё хуже, если это будет позволено делать самим юзерам - через полгода у всех будет "qwerty".

[Sasha Odarchuk]

John Smith, все говорят что смена пароля устарела, но мало кто добавляет: нужна 2FA.
И народ просто берет и юзает 1ю часть, на догадываясь/юзая 2ю часть!

[John Smith]

Sasha Odarchuk, даже без 2FA от частой смены паролей по расписанию больше вреда, чем пользы, что должно быть очевидно каждому, кто видел, как это по факту работает у пользователей...

Answer 1

[Владимир Коротенко]

Политика устаревания паролей.

Правила информационной безопасности холдинга "очень серьезный холдинг".
......

4.7.2 Пароль для линейных пользователей должны удовлетворять правилам сложности пользовательских паролей и изменяются каждые 40 дней, причем предыдущий пароль не может быть использован повторно.

Comments

[John Smith]

предыдущий пароль не может быть использован повторно = пред-предыдущий может, равно как и предыдущий с "хвостиком" типа "2", "123" или аналогичным префиксом.
А главное, зачем...

[Владимир Коротенко]

John Smith, Причин много. Первая это безопасность.
Вторая это карго культ.

Лично я бы написал сервис для корпоративной сети который стучится в сеть и ищет по известным акаунтам утечки для этого пользователя и запрещает ему ставить пароль который скомпрометирован

[John Smith]

Владимир Коротенко,
В последнее время начинает преобладать мнение, что регулярная смена не усиливает, а ослабляет безопасность ввиду описанных мной выше факторов (см. комментарий к самому вопросу).

Этого же мнения придерживается в своих рекомендациях NIST.

щет по известным акаунтам утечки для этого пользователя и запрещает ему ставить пароль который скомпрометирован

Вот это очень правильно, и, в отличие от ротации паролей, безопасность действительно усиливает.

Answer 2

[Рональд Макдональд]

Password Management.
Политика паролей.
Кодекс Пользователя.
(с придыханием, растягивая): "Пассвот менежмент".

А, ну ещё, быть может, "ротация паролей", хотя не уверен, что вротация тут подойдёт.

Answer 3

[Saboteur]

password retention policy
password management