Comment le fait de changer votre mot de passe tous les 90 jours augmente-t-il la sécurité?
Là où je travaille, je suis obligé de changer mon mot de passe tous les 90 jours. Cette mesure de sécurité est en place dans de nombreuses organisations depuis aussi longtemps que je me souvienne. Y a-t-il une vulnérabilité de sécurité ou une attaque spécifique que cela est conçu pour contrer, ou suivons-nous simplement la procédure parce que "c'est la façon dont cela a toujours été fait"?
Il semble que changer mon mot de passe ne me rende plus sûr que si quelqu'un est déjà dans mon compte.
Cette question était Question de sécurité de la semaine de la TI.
Lisez le 15 juil. 2011 entrée de blog pour plus de détails ou soumettez le vôtre Question de la semaine.
Lorsque vos utilisateurs sont des humains, cela n'augmente pas nécessairement la sécurité.
Voir le FTC post " Il est temps de repenser les changements de mot de passe obligatoires " par la technologue en chef Lorrie Cranor, basée sur des recherches sur la façon dont les humains utilisent réellement ces systèmes. (Couverture du Washington Post ici .)
En outre, comme indiqué dans le blog de sécurité SANS , "L'une des principales directives pour changer de comportement est de [se] concentrer sur le moins de comportements qui répondent au plus grand risque." Les coûts liés à la nécessité de modifier les mots de passe sont mieux dépensés pour apprendre aux utilisateurs à utiliser des mots de passe forts et uniques et/ou des gestionnaires de mots de passe/une authentification multifactorielle. De plus, les avantages des changements de mot de passe ont diminué maintenant que les attaques peuvent et se produisent souvent beaucoup plus rapidement que les attaques manuelles longues et lentes que les changements de mot de passe pourraient aider à couper.
Personnellement, je ne pense pas que l'application de l'expiration du mot de passe aux utilisateurs de bureau (ou à des personnes peu familiarisées avec l'utilisation d'ordinateurs, sans parler de la cybersécurité) soit une bonne idée sous la forme, comme c'est le cas dans de nombreuses organisations. Comme il a été noté ci-dessus, le principal défaut de sécurité dans ce cas est que ces mêmes utilisateurs de bureau écrivent simplement leurs mots de passe sur des notes autocollantes et les collent sur leurs écrans ou les collent dans leurs bureaux. Ou, si la personne est légèrement plus "avancée", elle peut commencer à utiliser des mots de passe tels que letmeinMONTHYEAR.
Néanmoins, l'expiration périodique des mots de passe est une bonne chose, une fois qu'elle est associée à la bonne gestion des mots de passe. De toute évidence, la plupart des gens (non avertis) ne pourront pas se souvenir de mots de passe vraiment sécurisés - quelque chose comme v^i77u*UNoMTYPGAm$. Que devrions nous faire?
J'utilise personnellement un gestionnaire de mots de passe qui suit tous mes mots de passe, sauf un, le mot de passe principal. Cela simplifie vraiment les choses et les rend beaucoup plus sécurisées (à condition que mon mot de passe principal soit lui-même sécurisé et que je puisse facilement le raconter pour me connecter au gestionnaire de mots de passe.) Il existe plusieurs gestionnaires de mots de passe commerciaux, que je vous laisserai découvrir et tester. vous. J'utilise personnellement Lastpass qui est gratuit pour une utilisation générale et sécurisé. Il est disponible via le navigateur Web et peut également être installé en tant qu'application sur votre smartphone ou tablette. En ce qui concerne les problèmes de sécurité liés au fait de laisser une solution tierce gérer tous vos mots de passe, je compte sur le contrôle effectué par Steve Gibson. Vous pouvez en voir la version complète ici .
Si des mots de passe assez forts sont utilisés, ce n'est pas le cas. Les mots de passe peuvent devoir être modifiés régulièrement s'ils peuvent éventuellement être piratés hors ligne si un attaquant a réussi à extraire les hachages de la base de données. Cependant, l'application des changements de mot de passe semble une forme de sécurité faible lorsque les utilisateurs doivent être encouragés à sélectionner des mots de passe forts, par exemple sur la base de phrases de passe longues.
Sans être éduqués sur la sécurité des mots de passe, la plupart des utilisateurs ne choisiront pas de mots de passe forts, de sorte que la limite de modification de 90 jours est conçue pour protéger ces comptes. Comme ces utilisateurs ne comprennent pas ou ne se soucient pas de la sécurité de leur compte, ils sont susceptibles de choisir un autre mot de passe faible, éventuellement en fonction de leur ancien (ce qui signifie qu'un attaquant peut casser l'ancien et utiliser des variantes de celui-ci dans une attaque en ligne) . L'utilisation de la politique de 90 jours en combinaison avec la vérification de la similitude du nouveau mot de passe avec l'ancien peut être considérée comme utile. Les mots de passe d'autres utilisateurs seront plus difficiles à déchiffrer, bien que si suffisamment de temps soit consacré par un attaquant, cela soit tout à fait possible - tout mot de passe avec une force inférieure à 128 bits d'entropie signifie qu'il a la possibilité de le craquer éventuellement, bien que sauf si un attaquant est spécifiquement intéressé par un compte particulier, cela a une très faible probabilité de se produire.
Une bonne raison peut-être de changer les mots de passe est que les utilisateurs enregistrent souvent les mots de passe dans des endroits non sécurisés. Par exemple, la fonctionnalité de saisie semi-automatique du navigateur peut avoir mémorisé le mot de passe sur l'ordinateur d'un ami. Mais ce n'est ni ici ni là.
C'est pourquoi il est considéré comme une bonne pratique de les changer de temps en temps. Les 90 jours correspondent au plus petit dénominateur commun. Tous les utilisateurs utilisant des mots de passe forts générés à l'aide d'un générateur de mots de passe auront peu de soucis à modifier ensuite les leurs, de sorte que cette politique ne devrait pas causer de problèmes importants. Je peux comprendre que les utilisateurs avec de nombreux comptes avec cette politique seront ennuyés.
Une autre raison de changer souvent votre mot de passe est que les algorithmes de stockage de mot de passe tels que bcrypt et d'autres fonctions de dérivation de clés ont un nombre d'itérations, qui peut être augmenté pour augmenter le facteur de travail comme Loi de Moore s'installe. La saisie d'un nouveau mot de passe donne la possibilité de réenregistrer le hachage de mot de passe avec plus d'itérations, ou que l'algorithme de hachage entier soit mis à jour à mesure que la sécurité du système augmente. Par exemple, si le site stockait à l'origine des mots de passe en texte clair, puis migrait vers SHA-1, puis SHA-1 avec du sel, puis éventuellement bcrypt, l'acte de changer le mot de passe souvent est utilisé comme une opportunité de mettre à jour le format stocké pour cet utilisateur dans la base de données.
Notez qu'un changement de mot de passe n'est pas techniquement requis, juste que de nombreux systèmes réécriront le mot de passe dans le stockage à ce stade, mais ils pourraient également le faire en cas de connexion réussie car le mot de passe en texte clair sera également disponible à ce stade. Forcer un changement de mot de passe aidera dans ces cas, et a également l'avantage que s'il y avait des vulnérabilités de fuite de mot de passe non découvertes sur le site (par exemple, injection SQL), le mot de passe aura été changé en quelque chose de plus sécurisé ainsi que le format de hachage étant mise à jour. Notez que forcer un changement de mot de passe n'aide pas à mettre à jour les comptes inactifs, c'est pourquoi certaines normes dictent que les comptes inactifs sont désactivés après un certain temps (par exemple PCI après 90 jours) - si le mot de passe est également stocké dans un certain format dans la base de données, il il est également recommandé de le vider au cas où l'utilisateur l'aurait réutilisé ailleurs et qu'il serait divulgué ultérieurement.
J'aurais tendance à admettre qu'il s'agit principalement d'une exigence de conformité avec au mieux une augmentation nette marginale de la sécurité (à, malheureusement, un coût substantiel en termes de perte de disponibilité opérationnelle, en raison du verrouillage des utilisateurs autrement légitimes après 90 jours, machine -les communications avec l'ordinateur ont échoué car leurs mots de passe ont expiré et personne ne les a mis à jour, appels au Help Desk pour résoudre les problèmes de réinitialisation de mot de passe, etc.).
Cela dit, il existe des raisons valables d'appliquer une telle politique (bien que - ces justifications soient considérablement réduites par la période de validité relativement longue pour un mot de passe particulier ... après tout, si un cyber-escroc obtient votre mot de passe pendant 90 jours, il peut faire beaucoup de dégâts).
Le plus grand avantage réside dans le scénario suivant:
Vous êtes piraté ou compromis, et le cyber-escroc découvre votre nom d'utilisateur et votre mot de passe.
Il se trouve que la période de "seuil de changement" est proche (généralement - la fin du trimestre, et je ne pense pas que les cyber-escrocs ne le sachent pas).
Vous devez changer votre "ancien" mot de passe (que vous et le cyber-escroc connaissez tous les deux).
Vous suivez la politique de la société et changez votre mot de passe, ce qui signifie que le cyber-escroc est à nouveau verrouillé. Il ou elle peut essayer d'utiliser les mêmes méthodes qu'auparavant, pour obtenir également un accès non autorisé à ces informations d'identification ... mais cela peut être ennuyeux et prendre du temps.
Le point ici est, "changer son mot de passe en quelque chose de nouveau", n'est pas quelque chose qu'un cybercriminel fera normalement, parce que de son point de vue (à moins, bien sûr, que le mot de passe Hijack soit vraiment une sorte de déni- of Service Service), changer le mot de passe et verrouiller le propriétaire légitime (original) du compte, alertera immédiatement l'utilisateur légitime que quelque chose de fâcheux se passe.
Cela s'ajoute au fait que les cybercriminels détournent généralement des milliers de mots de passe à la fois; changer tout cela, en particulier parce qu'ils peuvent ne pas avoir accès aux systèmes dorsaux configurés pour permettre aux utilisateurs légitimes de le faire, peut être une tâche onéreuse.
Rien de ce qui précède n'est écrit ignorant le fait que les cyber-escrocs créent généralement leur propre compte privilégié, au moment où ils obtiennent un accès non autorisé à votre système, ou visent à ignorer les autres faiblesses potentielles des "90 jours obligatoires". changement de mot de passe "paradigme qui est si répandu de nos jours. Considérez cette règle comme un élément (mineur) de votre stratégie de défense en couches, et vous verrez qu'elle a sa place ... mais ce n'est certainement pas quelque chose sur lequel vous devez vous fier pour éloigner les méchants.