полезные статьи

Как часто я должен менять свои пароли?

Уважаемый Goldavelez.com,

Моя компания и некоторые веб-сайты вынуждают меня регулярно менять свои пароли, например, каждые три месяца. Как часто мне нужно менять свои пароли для всех других моих входов в систему (если вообще)?

Подпись,

Устаревшие пароли

Уважаемый ИП,

Многие организации требуют обязательной смены пароля, потому что это долгое время считалось «лучшей практикой» в области безопасности. Однако у этого правила есть свои плюсы и минусы, поэтому прежде чем вы решите, нужно ли вам регулярно менять другие пароли, давайте взглянем на моменты, когда изменение пароля часто имеет смысл, а когда - нет.

Почему компании применяют политики действия пароля

Когда вы меняете свой пароль каждые несколько месяцев, это ограничивает срок использования украденного пароля для скрытного злоумышленника - как долго он / она имеет доступ к вашей учетной записи. Если кто-то украл ваш пароль и вы не знаете об этом, злоумышленник может подслушивать в течение неограниченного времени и собирать любую информацию о вас или причинять другой ущерб.

Поэтому на протяжении десятилетий во многих руководствах по безопасности рекомендовалось частое изменение пароля, обычно от 30 до 180 дней. Windows Server по умолчанию составляет 42 дня.

Однако в большинстве случаев это могут быть устаревшие политики или рекомендации. По крайней мере, это очень спорно, что изменение паролей часто на самом деле действительно повышает безопасность.

Почему изменение ваших паролей часто может быть пустой тратой времени

Исследование, проведенное Microsoft пару лет назад, показало, что принудительная смена пароля приводит к потерям производительности на миллиарды, что очень мало для безопасности. Другие ресурсы по компьютерной безопасности (например, Университет Пердью, Health Informatics и Life as CIO blog) указывают, что «лучшая практика» частой смены паролей мало что делает для повышения безопасности, но сильно увеличивает разочарование каждого. Пользователи обычно выбирают варианты одних и тех же простых паролей (например, password3) или прибегают к клейким заметкам, прикрепленным к их ноутбукам. Другими словами, в некоторых случаях требования к изменению пароля могут фактически подвергаться риску.

Эксперт по безопасности Брюс Шнайер отмечает, что в большинстве случаев злоумышленники сегодня не будут пассивными. Если они получат логин вашего банковского счета, они не будут ждать два месяца, а сразу же переведут деньги с вашего счета. В случае с частными сетями хакер может быть более скрытным и избегать подслушивания, но он с меньшей вероятностью будет продолжать использовать ваш украденный пароль и вместо этого установит доступ через черный ход. Регулярная смена пароля мало что изменит в любом из этих случаев. (Конечно, в обоих случаях очень важно сменить пароль, как только будет обнаружено нарушение безопасности и злоумышленник заблокирован.)

В сегодняшней сумасшедшей хакер-дружественной системе частая смена пароля менее актуальна, чем когда-либо. В NIST говорится, что политики истечения срока действия пароля «не имеют отношения к уменьшению взлома», потому что хакеры не только полностью используют наши хитрые уловки паролей, но и имеют более совершенное аппаратное и программное обеспечение:

Как правило, периоды истечения срока действия пароля не сильно помогают в уменьшении взлома, поскольку они оказывают столь незначительное влияние на количество усилий, которые злоумышленнику придется потратить, по сравнению с эффектом других элементов политики паролей. Предположим, что организация сократила срок действия пароля с 60 до 30 дней. Злоумышленнику просто потребуется использовать в два раза больше аппаратных ресурсов, чтобы компенсировать это изменение.

У хакеров есть машины, которые могут прерывать 348 хэшей паролей NTLM в секунду. (NTLM - это алгоритм шифрования паролей, используемый в Windows. При 348 миллиардах хешей NTLM в секунду любой 8-символьный пароль может быть взломан за 5, 5 часов.)

Так что, действительно, менять все ваши пароли каждые 30 или 90 дней не стоит и вряд ли повысит вашу безопасность. Это хорошо, потому что многие из нас предпочитают чистить унитаз, чем менять свои пароли.

Учетные записи, которые вы могли бы регулярно менять пароли

Как обычно бывает, есть исключения. Для определенных типов учетных записей хакеры могут с большей вероятностью «прислушиваться» и молча задерживаться на месяцы, пока не получат важную информацию от вас. Шнайер отмечает, что если ваша младшая сестра или бульварная пресса (если вы какая-то знаменитость), например, имеют ваш пароль на Facebook, они, вероятно, будут слушать, пока вы не измените свой пароль, который может занять месяцы или годы, если вы никогда не узнай об этом.

В общем, это совет Шнайера:

Вам не нужно регулярно менять пароль к вашему компьютеру или финансовым учетным записям в Интернете (включая учетные записи на розничных сайтах); определенно не для учетных записей с низким уровнем безопасности. Вы должны время от времени менять свой корпоративный пароль для входа в систему, и вам нужно внимательно взглянуть на своих друзей, родственников и папарацци, прежде чем решать, как часто менять свой пароль Facebook. Но если вы расстаетесь с кем-то, с кем у вас есть общий доступ, поменяйте их все.

Я хотел бы добавить, что вы могли бы рассмотреть возможность регулярного изменения паролей для сайтов коммуникационного типа, которые не имеют двухфакторной аутентификации: особенно электронной почты, и таких вещей, как обмен мгновенными сообщениями или услуги конференц-связи. Это более дружественные сервисы, которые хакеры могут прослушивать месяцами, прежде чем вы узнаете. (С другой стороны, вам следует использовать службу электронной почты с двухфакторной аутентификацией, поскольку для злоумышленников это золотая жила, если они смогут в нее попасть. Вероятно, это самая важная учетная запись, которую вы должны защитить, а также ваш менеджер паролей и компьютер. аккаунт.) Некоторые службы, включая Gmail, Facebook и Dropbox, показывают активные сеансы, поэтому в качестве общей меры безопасности вы можете проверить их, чтобы убедиться, что никто не входит в ваши учетные записи.

Прежде всего: усилить свою безопасность в целом

Гораздо важнее, чтобы вы выбрали уникальный пароль для всех учетных записей - один как можно дольше - и усилили все остальные параметры безопасности (двухфакторная проверка подлинности, сделав ваши вопросы о восстановлении пароля неуместными и сделав резервную копию всего), потому что в В конце концов, надежных паролей недостаточно - независимо от того, как часто вы их меняете.

Если у вас есть слабые или дублирующие пароли, обязательно смените их как можно скорее. Также учитывайте, что каждое очередное нарушение безопасности напоминает о необходимости проверять и обновлять не только ваши пароли, но и ваши настройки безопасности в целом - при необходимости. После всего этого наслаждайтесь спокойствием, что вы делаете все возможное, и избавьте себя от необходимости менять все свои пароли по расписанию.

Любить,

Goldavelez.com