Comments 85
вижу
Смена паролей пользователей не реже одного раза а год
А кем жди контролируется и что будет за нарушение?
PCI-DSS пункт 8.2.4 (Как и ГОСТ Р 57580.1) всё это требуют.
Требования PCI-DSS родились не на пустом же месте, а используют общепринятые рекомендации по безопасности в IT. Если сейчас массовый тренд идет на отказ от периодической смены паролей, и с логичным обоснованием, то в будущей редакции PCI-DSS его тоже уберут. А лет через 10-15 и в ГОСТе тоже.
сейчас все ходят с смартфонами.Не все.
некоторым пришлось купить специально ради этого смартфон
а я все жду когда закрутят гайки и скажут что надо что бы телефон был обязательно без рута :-)
— надо взять телефон
— надо разблокировать телефон
— надо запустить менеджер паролей
— надо разблокировать менеджер паролей
— надо найти нужный пароль там
Это всё довольно геморройно, особенно, если политика паролей заставляет использовать сложные пароли. Большинство людей не будет париться и, как и прежде, будет добавлять в конец любимого пароля цифру, чтобы не забывать его.
— Вспомнить или найти взглядом, где лежит телефон;
— Протянуть к телефону руку;
— Взять телефон в эту руку;
— Нажать кнопку включения экрана или открыть чехол;
— Приложить палец к сканеру отпечатков или ввести пин-код чтобы разблокировать телефон;
— Свернуть запущенное приложение, если оно есть;
— Вспомнить, как называется менеджер паролей;
— Найти менеджер паролей;
— Запустить и разблокировать менеджер паролей;
— Найти нужный пароль.
Отвратительно, кто вообще пользуется телефонами с таким-то геморроем каждый раз?
Менеджеры паролей хорошо работают, если они хоть как-то интегрируются в рабочее окружение. Или когда пароли оттуда требуются крайне эпизодически.
А каждый день по несколько раз проделывать подобную процедуру — обязательно возникнет непреодолимое желание начать срезать углы. Например, на разблокировке телефона и менеджера паролей. Потом кто-то его потеряет.
Для основной учётной записи гораздо практичнее и безопаснее использовать запоминающийся и стойкий пароль — это может быть парольная фраза, например.
«СолнцеСелоЗаГорами» — запоминается легко, печатается быстро (так как слова привычные), ломать достаточно сложно.
У меня как раз так и есть — база паролей от всякой фигни в телефоне, телефон на отпечатке. Приходишь куда-нибудь, надо ввести — полез за телефоном, открыл менеджер паролей (пароль на него), нашёл там нужное (это всё быстро, но всё это отдельные операции), а там ещё пароль $up@duPaF1y8&!^ — извольте печатать по буквам. Нет, раз в високосный год это сделать не проблема, но регулярно — это гемор. И несознательные личности будут стремиться себя от него избавить хоть как-то.
Если уж смартфон, то лучше он вторым фактором будет. Хотя, кмк, какой-нибудь токен в этом смысле привычнее и удобнее.
По себе знаю, что пароль любой сложности при регулярном использовании запоминается за несколько дней. Максимум пару недель потребуется для пароля из 20 символов со всякими скобочками и прочими знаками пунктуации. Но, конечно, если его приходится набирать по несколько раз в день.
Потом они даже запомнят — а тут бах и снова пароль поменялся. А они далеки от идей ИБ, для них это ненужный гемор и какие-то причуды сисадминов, у них отчёты горят — вот это важно. Раз потыкаются, два потыкаются — и на третий под монитором появится бумажка.
Речь шла о многократном ежедневном вводе пароля. И что по двадцать раз на день лазить в менеджер паролей утомительно. Если же рассматривать ваш вариант, то пару раз в день можно и подссотреть пароль в менеджере паролей, неговоря уже о разе в неделю.
Как в три действия положить ежа в холодильник?
… Не знаю.
1. Открыть холодильник
2. Положить туда ежа
3. Закрыть холодильник.
Как в шесть действий положить ежа в ящик?
Открыть ящик, положить ежа, закрыть ящик?!
Не-а. В шесть.
Не знаю!
Открыть холодильник. Взять ежа. Закрыть холодильник. Открыть ящик. Положить ежа. Закрыть ящик)))
Это ни разу не удобно. Если надо войти в компьютер и пароль забыт, то:
Вы забыли первый пункт:
— надо оторвать задницу от стула
2. Но даже если все и ходят с смартфонами. Допустим установил там Google Authenticator или что-то еще. Но, смартфон твой, не компании… юридически она не может тебя заставить держать сам андроид чистый, тогда какая гарантия что у тебя нет в телефоне какой-нибудь вирус, который тоже будет знать эти токены. Да, кто-то скажет что у них срок 30 секунд, но! есть и системы которые выдают тебе коды раз в 30 секунд из определенного списка, а вот список вирус и может украсть.
Статья реально не о чем. Пришла сегодня инструкция по ИБ из министерства. Там :"полная плановая смена паролей пользователей раз в месяц". Мне этот пост в министерство отправить?
Просто очень спорная мысль. Тут ниже про брутфорс Вы хорошо заметили. Ведь изначально ноги росли именно от времени взлома пароля.
«Периодическое истечение срока действия пароля является защитой только от вероятности того, что пароль (или хэш) будет украден в течение его срока действия и будет использоваться неавторизованным лицом. Если пароль не украден, нет смысла его менять. И если у вас есть доказательства того, что пароль украден, вы, очевидно, захотите действовать немедленно, а не ждать истечения срока действия, чтобы устранить проблему».Тут, почему-то, попытки брутфорса они оставили за скобками, а потом о них уже вспомнили. Ведь если вас постоянно брутят, и ваша система настолько тупа, что эти попытки не пресекает, то смена пароля очень мешает этим попыткам взлома. Конечно, если менять весь пароль, а не только цифирку в конце. Хотя, конечно, есть доля везения, что вы и ускорите этот процесс :)
Опять таки, запоминающийся пароль, который меняется редко, может быть и длинным — в виде фразы. «ЛошадкаИЕжикЛучшиеДрузья» — заколебутся брутить при самой минимальной защите :)
Там же, где попытки брута ожидаются и трудно предотвращаются (всякие там технические пароли, секретные ключи и т.п.), обычно и так стоит что-то случайно сгенерированное из 20-30 символов, так как это никто руками не вводит.
Проводили у нас аудит на проникновение в связи с PCI-DSS
Меня взломали, т.к в SMB была бага, что при авторизации отправлялись хэши паролей в сеть и отправлялись они без соли или что-то в этом роде. Microsoft исправила эту багу, но т.к я менял пароль более 5 лет назад, то мой хэш моего пароля отправлялся каждый раз одинаковый, без соли. А если бы я даже поменял пароль1 -> пароль2 -> пароль1, то пароль бы перезаписался где-то в системе и все было нормально. А так его поломали через rainbow crack.
Но это скорей косяк Windows, чем мой, он должен был потребовать поменять пароль в таком случае.
Вообще, практика показывает, что гораздо вероятней появление критической уязвимости в ПО, чем то, что кто-то сбрутфорсит пароль или он утечет.
А еще постоянное требование смены пароля приводит к тому, что он оказывается записан на бумажке и лежит рядом с клавиатурой. Или пароли становятся простыми типа qwerty12345. Потому что один пароль можно запомнить, два, три, а потом уже забывают. Не все пользуются менеджерами паролей. Аудита на тему «как человек решает проблему, что нужно постоянно запоминать где-то новый пароль, пользуется ли менеджерами паролей», такого аудита нет.
Если серьёзно — то при защите от угрозы извне, хранение пароля на бумажке может быть даже полезным (там он может быть сложнее, чем способен запомнить пользователь). А если защищаться от бумажек, то стоит следить, чтобы пользователь блокировал компьютер, как только уходит на пару минут и не сидел под другим аккаунтом, даже, чтобы помочь кому-то. Уровень угрозы такой же.
Или интеграции с HaveIBeenPwned (с проверкой не утек ли конкретный пароль БЕЗ его раскрытия).
Но… надо менеджер паролей который так умеет, и если пользователь использует одни и те же пароли на работе и дома — это должен быть один и тот же менеджер. Либо нужно это куда то еще интегрировать и опять же — если пользователь использует одни и те же пароли то см выше.
Двух-факторная авторизация. Вы представляете себе сколько раз админ вводит пароль(пароли) в день?
Отсюда выводы: пароли менять надо, но не параноидально. У обычных бесправных юзерей можно и не менять, но надо чтобы они действительно были бесправные, а не доменными админами из-за того что не ставятся драйвера на принтер. Двух-факторную включать на важных ресурсах, куда не логинишся по 10 раз в день. Ну и т.д.
Ну и вообще безопасность это не то что один раз настроил и забыл. Это процесс. В любой момент может появиться новенький 0day Ваня Вонакрай.
Админ вводит свой пароль один раз в день. И дальше везде по ssh со своим ключиком ходит.
Если он делает не так, то это плохой админ.
sudo без пароля? Не уверен, что это хорошая идея
Если админ уходя пописать не блокирует свой комп — такой админ не нужен
Когда я приехал в Окридж в следующий раз, все секретарши и вообще
все, кто знал меня, просили: «Не ходи здесь! Не ходи здесь!»
Оказалось, полковник разослал всем служащим завода записку: «Во время
последнего визита мистера Фейнмана видели ли вы его в служебное или
неслужебное время в вашем офисе, поблизости от вашего офиса или проходящим
через ваш офис?» Кто-то ответил «да», другие ответили «нет». Те, кто
ответили «да», получили вторую записку: «Пожалуйста, смените код вашего
сейфа».
Полковник принял решение: опасность представлял я. И из-за меня все
они должны были сменить свои коды. Это целая проблема — менять код и
запоминать новый, так что все они сердились на меня и не хотели, чтобы я к
ним приближался: может, им придется менять код еще раз. Надо ли говорить,
что их бюро по-прежнему оставались открытыми во время работы!
столько времени прошло, а история не теряет актуальности
во первых есть разные уровни безопасности и пароль от инсты с тремя фотками шашлыков конечно же не нужно менять с какой-либо периодичностью. а вот пароль от учетки банковского сотрудника, который имеет доступ к вашему счету — лучше менять регулярно (или вы не согласны?).
во вторых лень учить пароли может пойти дальше и пароль будет везде один и тот же — и на бесплатной почте и на доступе в клиент-банк.
2. Обновить политики с настойчивой рекомендацией его использовать.
3. PROFIT!
Проблему запоминания паролей при их частой смене можно решить, если записывать их на бумаге, используя простую систему шифрования — прореживание, перестановки, замену символов + защиту от брутфорса,
Вы хотите заменить проблему запоминания паролей проблемой «как объяснить офисному сотруднику, что он, записывая пароль на бумаге, должен использовать прореживание, перестановки и замену символов»? Хм.
Пароли так или иначе приходится записывать, даже если не менять их часто — всё равно есть время, нужное для уверенного запоминания. Это можно делать по-разному — использовать для их хранения труднодоступные места (сейф, менеджер паролей), прятать, или шифровать — каждый выбирает свой способ. Независимо от того, хранятся ли пароли в электронной или бумажной форме.
Была в моей жизни история, когда я заставлял клерков менять пароли раз в 6 недель, как требовал MS. В силу молодости, неопытности и максимализма, свойственного возрасту, правила были самые жутчайшие: большие-заглавные буквы, цифры, спецсимволы, нечитаемые и не меньше 10 символов. Ещё и не ленился ходить по кабинетам и отрывать жёлтые бумажки с паролями, наклеенные на монитор. Первое время народ возмущался, раз в 42 дня я выслушивал многократное "фи" от пользователей по этому поводу (им даже просто придумывать их было сложно, не то, что запоминать), а затем вдруг всё прекратилось.
Я был счастлив. Даже немножко горд. Мол, смог воспитать народ. А заодно — у меня хорошо защищённые паролями рабочие места.
Но через какое-то достаточно продолжительное время на одном из "корпоративов" мне вдруг открылась страшная тайна: мало того, что жёлтые стикеры перекочевали с мониторов на обратную сторону клавиатуры (чтобы я не увидел), так ещё коллеги просто каждый раз передавали эти бумажечки соседу, устраивая круговорот паролей по кабинету. И всё. Именно в этом была причина, что народ перестал жаловаться. В итоге выходило так, что все знали пароли всех. И в случае чего — знали, где их найти.
Это произвело на меня сильнейшее впечатление. Я так и не смог выяснить, кто придумал этот "круговорот", но человек был, безусловно, толковый и изобретательный. И подавляющее большинство сотрудников было ему, безусловно, благодарны. Я же был просто потрясён своей наивностью. Та "защищённость", которой я так гордился, разбилась со звоном хрустального бокала, а продвинутость "моих" пользователей оказалась намного круче, чем я мог себе представить )
В итоге, в беседах пришли к выводу, что нужно поменять парольную политику. Отныне требование к паролям было одно: они должны быть длинными, больше 20 символов, дабы избегать паролей типа "15-06-1999", а для запоминания нужны не записи на стикерах, а мнемоники (что-то "ВаркалосьХливкиеШорьки"). А через какое-то время отключил в AD и устаревание пароля за 42 дня.
или считывание/модификация охраняемых данных защищена временем (нельзя просмотреть всю базу целиком, а можно например увидеть/изменить 5 строк в день) — тогда периодическая смена пароля спасет большую часть информации от злоумышленника.
В настоящее время не существует систем, которые невозможно взломать. Вся безопасность строится на том, чтобы профит от взлома был меньше средств, которые нужно на этот взлом затратить. И циферка определяющая частоту смены пароля — это один из ключевых параметров в этой системе.
И если у вас есть доказательства того, что пароль украден, вы, очевидно, захотите действовать немедленно, а не ждать истечения срока действия, чтобы устранить проблему
Или вы даже не в курсе что его у вас того.
Периодическая смена паролей — устаревшая практика, пришло время от неё отказаться