आप अपने व्यवस्थापक / रूट पासवर्ड को कितनी बार बदलते हैं?

मुझे अपने डोमेन में व्यवस्थापक पासवर्ड को बदलने की बुरी आदत है। मेरे द्वारा उपयोग किए जाने वाले पासवर्ड बहुत अच्छे हैं, लेकिन मैं इस पर अधिक सुसंगत रहना चाहता हूं।

आपको क्या लगता है एक अच्छी आवृत्ति है? हर 6 महीने में शायद?

आइए एक त्वरित गणना करें (और एक पल के लिए सर्वोत्तम प्रथाओं को भूल जाएं):

अपने सिस्टम को हैक करने के लिए एक हमलावर के लिए छह महीने का समय सीमा मान लें। चलो यह भी मान लेते हैं, कि पासवर्ड 62 के आकार के वर्ण सेट से बेतरतीब ढंग से चुने गए हैं।

परिदृश्य 1: आप पूरे छह महीनों के लिए एक 9 वर्ण पासवर्ड का उपयोग करते हैं।

परिदृश्य 2: आप पहले तीन महीनों के लिए 9 वर्ण का पासवर्ड और शेष तीन संन्यासियों के लिए एक अलग 9 वर्ण का पासवर्ड प्रयोग करते हैं।

परिदृश्य 3: आप पूरे छह महीनों के लिए एक 10 वर्ण पासवर्ड का उपयोग करते हैं।

में परिदृश्य 1 , एक जानवर बल हमलावर 100% निश्चितता के साथ आपके अकाउंट हैक करता है, अगर वह उस समय में 62 ^ 9 प्रयास कर सकते हैं।

में परिदृश्य 2 , वह आधे समय (तीन महीने) में ही (62 ^ 9) / 2 attemps कर सकते हैं तो उसे 50% निश्चितता के साथ खाता हैक कर देंगे। दूसरे भाग में, उन्हें 50% निश्चितता के साथ एक और मौका मिलेगा। इसलिए सांख्यिकीय रूप से, वह 75% निश्चितता के साथ खाता हैक करेगा।

में परिदृश्य 3 , वह पूरे छह महीने के लिए 62 ^ 9 प्रयास करना होगा। लेकिन 62 ^ 10 संभावनाएं हैं। इसलिए वह खाता केवल 1/62 निश्चितता के साथ हैक करेगा, यह लगभग 1.6% है।

इसलिए यदि हम अन्य सभी कारकों को छोड़ देते हैं (जैसे कि चोरी हुए पासवर्ड और अन्य प्रकार के हमले), तो सिफारिश यह होगी कि आप छोटे (या सरल) पासवर्डों का उपयोग करने की तुलना में अधिक लंबे पासवर्ड चुनें, भले ही वे अधिक बार बदले जाएं। विशेष रूप से, क्योंकि परिदृश्य 3 में , याद करने के लिए केवल 10 वर्ण हैं, जबकि परिदृश्य 2 में , यह 18 वर्ण हैं।

हम ज्यादातर खिड़कियां हैं, और प्रत्येक व्यवस्थापक के पास अपना स्वयं का डोमेन व्यवस्थापक खाता है, और हम बस एक दूसरे पर भरोसा करते हैं कि उनके पास मजबूत पासवर्ड है और उन्हें हर अब और फिर से बदलना है। मुझे यकीन है कि सभी के पास मजबूत पासवर्ड हैं क्योंकि हम यह सुनिश्चित करने के लिए सहकर्मी-दबाव का उपयोग करते हैं कि वे लंबे हैं और उनमें संख्या और / या वर्ण हैं, लेकिन हम उन्हें अक्सर बदलते नहीं हैं। \ n

जोड़ा: अब तक, ज्यादातर लोगों ने शायद यह सुना है, लेकिन सिर्फ मामले में। एन्क्रिप्शन और सुरक्षा विशेषज्ञ ब्रूस श्नेयर का कहना है कि आपके पास मजबूत पासवर्ड होना चाहिए और उन्हें लिखना चाहिए।

यद्यपि यह अक्सर पासवर्ड बदलने के लिए सैद्धांतिक रूप से बेहतर होगा, चलो-राइट-ऑन-ए-ऑन-ए-पोस्ट-इट-फैक्टर तेजी से बढ़ता है क्योंकि वैधता अवधि कम हो जाती है।

यदि यह केवल निजी उपयोग के लिए है, तो सार्वजनिक कुंजी प्रमाणीकरण का उपयोग क्यों न करें और आपके कीरिंग के लिए सिर्फ एक अच्छा पीडब्लू है?

क्या आप वास्तव में डोमेन (SID: S-1-5-21domain-500) के लिए प्रशासक खाते के बारे में बात कर रहे हैं, या क्या आप अपने लिए बनाए गए व्यवस्थापक खाते के बारे में बात कर रहे हैं ताकि आप इस बारे में उपयोगी लॉग प्राप्त कर सकें कि कौन क्या करता है?

मैं आमतौर पर एक लंबा (20+ कैरेक्टर पासवर्ड) रखने के लिए एडमिनिस्ट्रेटर अकाउंट सेट करूंगा और पासवर्ड को किसी सुरक्षित स्थान पर स्टोर करूंगा और कभी भी उस अकाउंट का उपयोग नहीं करूंगा। मैं आमतौर पर हर साल या तो केवल उस पासवर्ड को बदलता हूं। हमारे नेटवर्क में लॉकआउट सिस्टम भी है और इस तरह के किसी भी रिमोट ब्रूट बल के हमलों को बहुत प्रभावी होने से रोकना चाहिए। चूँकि मैं कभी भी दिन-प्रतिदिन के कार्यों के लिए पासवर्ड का उपयोग नहीं करता हूं, इसलिए इसकी अवरोधक होने की संभावना लगभग न के बराबर है।

यदि आप मेरे व्यक्तिगत खाते के बारे में बात कर रहे हैं जो मैंने व्यवस्थापक विशेषाधिकारों को दी है तो मैं इसे हर 6 महीने में बदल देता हूं। जब भी संभव हो मैं कुंजी-आधारित प्रमाणीकरण का उपयोग करना चाहता हूं ताकि मेरा पासवर्ड कहीं भी बहुत कम प्रसारित हो। मैं भी आम तौर पर काम नहीं करता है जो मुझे लगता है कि अधिकांश लोग उच्च-जोखिम वाले सिस्टम होंगे।

कोई फर्क नहीं पड़ता कि आप कितने जटिल पासवर्ड सेट कर रहे हैं। हर 30 से 42 दिनों में अपना पासवर्ड बदलने के लिए हमेशा एक अच्छा अभ्यास है। 6 महीने का तरीका बहुत पुराना पासवर्ड है। सुरक्षित और सुरक्षित रहने के लिए हमेशा एक अच्छी पासवर्ड नीति लागू होनी चाहिए :-)

मैं आम तौर पर केवल एक कर्मचारी के सदस्य के चले जाने के बाद रूट पासवर्ड रीसेट करता हूं ... लेकिन हर 90 दिनों में उपयोगकर्ता को अपना उपयोग बदलने के लिए प्रोत्साहित करते हैं।