क्या मुझे अपने उपयोगकर्ताओं को हर n दिन / सप्ताह / महीने में पासवर्ड बदलने के लिए बाध्य करना चाहिए?

प्रश्न यह सब कहता है। हम एक ऐसी प्रणाली डिजाइन कर रहे हैं, जहां सुरक्षा बहुत महत्वपूर्ण है। विचारों में से एक था उपयोगकर्ताओं को हर 3 महीने में पासवर्ड बदलने के लिए मजबूर करना। मेरा यह मानना ​​है कि इसके अधिक सुरक्षित होने के कारण क्योंकि पासवर्ड बदलता है, यह अक्सर हमारे उपयोगकर्ताओं को कभी भी बदलते पासवर्ड को याद रखने के लिए मजबूर करता है और यह अधिक संभव बनाता है कि वे इसे याद रखने में मदद करने के लिए इसे कहीं लिख देंगे।

एक ही विचार में उपयोगकर्ताओं को पासवर्ड का अनुमान लगाने के लिए सुपर हार्ड का उपयोग करने के लिए मजबूर करना वास्तव में अच्छा है। उन्हें उपयोग करने के लिए मजबूर करें?% &% और अपरकेस अक्षरों को ऊपर रखें। मुझे पता है कि इस तरह के पासवर्ड का आविष्कार करने और फिर इसे याद रखने की काफी परेशानी है।

फिर दोबारा हम नहीं चाहते कि 12345 का उपयोग कोई करे।

इसलिए। क्या इस विषय में कोई श्वेतपत्र है? अच्छा अभ्यास?

मैं PHP के साथ बनाई गई वेबसाइट के बारे में बात कर रहा हूँ। एक दीपक वातावरण में MySQL अगर कुछ भी बदलता है।

मुझे लगता है कि मैं इस पर अल्पमत में हो सकता हूं (स्कूल और काम पर आईटी विभागों के साथ काम करने के मेरे सीमित अनुभव के आधार पर), लेकिन मुझे लगता है कि अनिवार्य, समय-आधारित पासवर्ड परिवर्तन नीतियां सबसे अच्छे, और सबसे खराब हानिकारक हैं। अच्छे पासवर्ड चुनने और उन्हें गुप्त रखने में लोगों को बहुत बुरा लगता है। पासवर्ड समाप्ति की नीतियों को किसी भी एक पासवर्ड को क्रैक / सोशल इंजीनियर / चोरी होने की मात्रा को सीमित करके इसे कम करने के लिए डिज़ाइन किया गया है; हालाँकि, वे इसे व्यवहार में प्राप्त करने में विफल रहते हैं, मुख्यतः क्योंकि वे उपयोगकर्ताओं को निरंतर आधार पर उनके पासवर्ड को फिर से जारी करने के लिए मजबूर करते हैं। उपयोगकर्ता के लिए अपने पासवर्ड को स्मृति में रखने के लिए कठिन बनाने से, आप अंत में उनमें से कई को कमजोर पासवर्ड चुनते हैं, और / या अपने पासवर्ड को किसी ऐसे स्थान पर लिखते हैं जहां पर आँखें उन्हें ढूंढ सकती हैं।

इसके अलावा, जब एक नियमित आधार पर अपना पासवर्ड बदलने के लिए मजबूर किया जाता है, तो कई उपयोगकर्ता पासवर्डों का चयन करेंगे जो कि बहुत पहचानने योग्य पैटर्न का पालन करते हैं, जैसे कि [base string][digit]। मान लीजिए कि कोई उपयोगकर्ता अपनी पासवर्ड के रूप में फ़्लफ़ी का उपयोग करना चाहता है। वे की एक पासवर्ड के साथ शुरू हो सकता है fluffy, तो के लिए इसे बदल fluffy1, fluffy2, fluffy3और इतने पर। इस मामले में, नीति वास्तव में सुरक्षा में मदद नहीं करती है; भले ही उपयोगकर्ता की तुलना में एक अधिक सुरक्षित आधार स्ट्रिंग चुनता है fluffy, और भले ही वे अपने पासवर्ड को सुरक्षित रूप से याद रखते हैं, एकल प्रत्यय चरित्र जो हर कुछ महीनों में बदलता है दरार या सामाजिक इंजीनियरिंग हमलों को कम करने के लिए बहुत कम करता है।

यह भी देखें: पासवर्ड की समाप्ति हानिकारक माना जाता है , एक छोटा लेख (मेरे द्वारा नहीं लिखा गया) जो मुझे लगता है कि इन समस्याओं का एक अच्छा परिचय देता है।

मेरे बड़े संगठन (15000+ उपयोगकर्ताओं) ने 2009 के पतन में हर 120 दिनों में "पासवर्ड परिवर्तन" लागू किया। यह एक विशाल आईटी सिरदर्द और समर्थन संसाधनों की बर्बादी है। हर बार जब हमारे आसपास 120 दिन का विंडो रोल होता है, तो हजारों उपयोगकर्ताओं को अपना पासवर्ड बदलने के लिए मजबूर किया जाता है .... जो उनमें से कई या तो गलत तरीके से करते हैं और अपने खाते को बंद कर देते हैं .... या अगले दिन भूल जाते हैं। हमारा हेल्पडेस्क पासवर्ड कॉल के साथ स्वाइप हो जाता है, भले ही हमने जितना संभव हो उतना सेल्फ-सर्विस बनाने की कोशिश की।

यदि आप चाहते हैं कि आपके उपयोगकर्ता / ग्राहक आपसे घृणा करें .... और आपकी अग्रिम पंक्ति के आईटी कर्मचारी आपको पुतले में जलाने के लिए उन्हें हर मौका मिले ... पासवर्ड परिवर्तन लागू करें।

पासवर्ड बदलने की नीतियां कुछ आईटी मैनेजर में एक चेकबॉक्स हैं कि कैसे बुक करें कहीं ... और यह 15 साल पहले लिखा गया था। खाइयों में कोई भी जो वास्तव में नीति का कार्यान्वयन या समर्थन करता है, आपको कभी भी यह नहीं बताएगा कि यह एक अच्छा विचार है।

मैंने पासवर्ड के बजाय "पास वाक्यांश" के लिए यहाँ तर्क दिया .... वसा बहुत अच्छा था जो किया ... सुरंग के अंत में वह प्रकाश एक आने वाली ट्रेन थी। :)

एक पास वाक्यांश एक लंबी लगभग अस्पष्ट स्ट्रिंग है जिसे याद रखना बहुत आसान है, जैसे "MyCatIsFromSpainAndICallHimElGato"। या शायद कविता या गीत की एक पंक्ति।

यदि आप इसे क्रैक करना वास्तव में कठिन बनाना चाहते हैं .... मामले के साथ खिलवाड़ करें, कुछ विराम चिह्नों को जोड़ें, कुछ को एले में बदलें, ओह को शून्य, एक को @, आदि ... लेकिन इसे याद रखें-सक्षम करें ... .ट की कुंजी। यहां तक ​​कि उन्हें लेने के तरीके भी हैं ताकि वे आपकी उंगलियों से कीबोर्ड तक आसानी से प्रवाहित हो सकें .... इसलिए आप हाथों के बीच या SHIFTs और अजीब विराम चिह्न के साथ उछल नहीं रहे हैं।

इसलिए...

• लंबे "पास वाक्यांश" का उपयोग करें।
• शक्ति के लिए आंतरिक रूप से उनका परीक्षण करें।
• अपने पूरे बुनियादी ढांचे में "एकल साइन-ऑन" को लागू करें ताकि ग्राहकों को केवल दिन में एक या दो बार इसका उपयोग करना पड़े।
• कभी भी उन्हें इसे बदलने के लिए मजबूर न करें।
• और शिक्षित करें, शिक्षित करें, उनके उचित उपयोग पर शिक्षित करें।

मैट

संपादित करें: 8/24/2011 XKCD इससे सहमत हैं और मैंने इसे बेहतर बताया।

नहीं। मेरी व्यक्तिगत राय है कि यह अनावश्यक और यहां तक ​​कि काउंटर-उत्पादक है । मैंने अपने ब्लॉग पर पोस्ट किया है, लेकिन अगर आप रुचि रखते हैं, तो आप इसका शिकार कर सकते हैं।

संक्षेप में, यह दो कारणों से आता है:

1. उपयोगकर्ता को अपना पासवर्ड लगातार बदलने के लिए मजबूर करने से पासवर्ड खराब हो जाता है।

इस पर उपाख्यानात्मक प्रमाणों की कोई कमी नहीं होगी, लेकिन यह समझ में आता है कि अगर मुझे हर एक्स दिनों में एक नई चीज याद रखने के लिए मजबूर किया जाता है, तो मैं उन चीजों को याद रखना आसान बना दूंगा, और शायद एक-दूसरे से संबंधित हूं।

उपयोगकर्ताओं को "Jan2010" या "Password05" जैसे "अनुमान योग्य" पासवर्ड चुनने की अधिक संभावना है यदि वे जानते हैं कि इसे जल्द ही बदलना होगा। वर्णों पर एक सख्त नीति लागू करने के लिए केवल एक अतिरिक्त विस्मयादिबोधक चिह्न या एक संक्षिप्त नाम के बजाय पूरी तरह से वर्तनी नाम के परिणामस्वरूप होने की संभावना है। तकनीकी रूप से जटिल पासवर्ड और अनुमान न लगाने वाले के बीच एक बड़ा अंतर है।

2. नियमित पासवर्ड परिवर्तन के लिए हमलों को रोकना नहीं है, यह केवल जोखिम को कम करता है (और बहुत कुछ नहीं)

इसके बारे में सोचें - यदि आपके पासवर्ड का अनुमान लगाया गया है या किसी तरह की खोज की गई है, तो उस जानकारी का उपयोग करने के लिए हमलावर को कितना समय लगेगा? अपने आप को हमलावर के जूते में रखो। आपने अभी एक पासवर्ड खोजा है। क्या आप लॉग-इन नहीं करेंगे और हर उस जानकारी को निकाल सकते हैं, जिसे आप किसी को पता चलने पर सीधे निकाल सकते हैं? 30 दिनों के समय में, आपको वह सब कुछ मिल गया है जो आप चाहते हैं।

मेरी सिफारिश:

• एक अत्यधिक सख्त पासवर्ड नीति (जैसे ऊपरी, निचले, संख्या और विशेष वर्ण वाले 15 वर्ण, कोई अंग्रेजी शब्द> 3 वर्णों के साथ)
• उपयोगकर्ता कभी भी अपना पासवर्ड न बदलें। अगर उन्हें पासवर्ड को कागज के टुकड़े पर लिखना है और उसे अपने वॉलेट में रखना है, तो यह वास्तव में ठीक है। लोग कागज के टुकड़ों को हासिल करने में अच्छे हैं, लेकिन पात्रों के यादृच्छिक तारों को याद करने में इतना अच्छा नहीं है।

उपयोगकर्ता के दृष्टिकोण से, मेरे पासवर्ड को बदलना अविश्वसनीय रूप से असुविधाजनक है। मैं बिल्कुल ऐसा करने के लिए होने से नफरत है, और केवल begrudgingly साइटों का उपयोग करेगा कि मैं पूरी तरह से की जरूरत है अगर वे मुझे आवश्यकता अपना पासवर्ड बदलने के लिए।

इस बारे में भी कुछ चर्चा हुई है कि क्या यह वास्तव में एक अच्छा अभ्यास है, क्योंकि कुछ लोगों को याद रखने के लिए अपने पासवर्ड लिखना बंद कर देना चाहिए।

आप उन विजेट्स में से एक को लागू कर सकते हैं जो लोगों को दिखाते हैं कि उनका पासवर्ड कितना मजबूत (या कमजोर) है, जबकि वे इसे भर रहे हैं - मुझे लगता है कि वे (सॉर्टा) उपयोगी हैं, हालांकि मुझे नहीं पता कि क्या वे वास्तव में मजबूत होते हैं पासवर्ड।

एक काफी सख्त पासवर्ड नीति वातावरण के उपयोगकर्ता के रूप में ("पासवर्ड का अनुमान लगाने के लिए सुपर कठिन" और समान रूप से पासवर्ड बदलते हुए) मेरी राय है कि केवल हार्ड-पासवर्ड की आवश्यकता है। यद्यपि आपके उपयोगकर्ताओं को इसके आदी होने में थोड़ा सा समय लगेगा (विशेषकर यदि वे 12345 तरह के उपयोगकर्ता हैं) तो उन्हें एक सप्ताह के भीतर याद करने और आसानी से टाइप करने में सक्षम होना चाहिए।

हालाँकि, मैं असहज अंत उपयोगकर्ताओं की भविष्यवाणी कर सकता हूँ अगर आपके पास ऐसे मजबूत पासवर्ड हैं और उन्हें बदलने के लिए मजबूर कर रहे हैं।

आईटी प्रशासन के दृष्टिकोण से, आपका सबसे अच्छा विकल्प यह है कि आप अपने आवेदन को मौजूदा प्रमाणीकरण योजना की एकल-साइन-ऑन क्षमताओं का उपयोग करने की संभावना की जांच करें जो आपके ग्राहक उपयोग कर रहे हैं। स्पष्ट रूप से सक्रिय निर्देशिका एक बड़ा खिलाड़ी है, लेकिन यदि आपका एप्लिकेशन उस नीति के साथ काम करता है जो आईटी को पहले ही कॉन्फ़िगर कर चुका है, तो आपको पहिया को फिर से स्थापित करने के बारे में चिंता करने की आवश्यकता नहीं है।

चूँकि पासवर्ड परिवर्तन को लागू किया गया है या नहीं इस बारे में बहुत बहस छिड़ गई है (हालांकि मुझे लगता है कि यह आपके मुख्य प्रश्न के लिए गौण था), मैंने सोचा कि आप यहाँ कुछ विचारों और लिंक का आनंद ले सकते हैं । अधिकांश स्थितियों के लिए, यदि आप एक पासवर्ड जटिलता और परिवर्तन अनुसूची लागू नहीं करने जा रहे हैं, तो आपके पास पासवर्ड बिल्कुल भी नहीं हो सकते हैं - लेकिन जिस तरह से इसे लागू किया गया है (प्रशिक्षण, प्रबंधन समर्थन, आदि) मैं जितना तनाव कर सकता हूं उससे अधिक महत्वपूर्ण है।

पासवर्ड बदलने से अक्सर उपयोगकर्ता को उन्हें लिखने में कठिनाई हो सकती है। ब्रूस श्नेयर ( http://www.schneier.com/blog/archives/2005/06/write_down_your.html ) के अनुसार ऐसा कोई बुरा विचार नहीं है ।

मैं यह भी तर्क दूंगा कि प्रयोज्य के रास्ते में सुरक्षा प्राप्त करना कभी-कभी एक अच्छी बात हो सकती है, सिर्फ इसलिए कि यह उपयोगकर्ता को सुरक्षित रूप से कार्य करने की याद दिलाता है। उदाहरण के लिए, जिस बैंक में मैं काम करता हूं, वहां सुरक्षा के बहुत सारे उपाय सुरक्षा रंगमंच हैं (उदाहरण के लिए दरवाजे पर चेहरा पहचानना, लेकिन अगर सुरक्षा विफल हो जाती है तो सुरक्षा लड़का आपके लिए दरवाजा खोल देगा)। हालांकि वे उपाय खुद से सुरक्षा में सुधार नहीं करते हैं, वे हमेशा हमें यह याद दिलाने के लिए होते हैं कि काम पर सुरक्षा एक महत्वपूर्ण चिंता है, कि लॉगिंग और चेकिंग की कुछ मात्रा चल रही है, और अगर आप कुछ "असुरक्षित" करते हुए पकड़े जाते हैं, तो आप मुश्किल में पड़ जाओगे।

बेशक, यह एक बैंक के कर्मचारियों के लिए सुरक्षा पर लागू होता है, यह आपकी वेबसाइट के उपयोगकर्ताओं पर लागू नहीं हो सकता है ...

आपको अपने उपयोगकर्ताओं को हर n दिनों को बदलने के लिए बाध्य करना चाहिए यदि आपकी सुरक्षा नीति को इसकी आवश्यकता है। मैं एक राज्य एजेंसी के लिए काम करता हूं, और यह राज्य लेखा परीक्षक के कार्यालय से लागू होने वाली एक आवश्यकता है। मैं इसके बारे में एक बात नहीं कर सकता, इसलिए मुझे परिवर्तनों को लागू करना होगा।

यदि आप पासवर्ड परिवर्तन को बाध्य करने के लिए नियमन से बाध्य नहीं हैं, तो उन्हें बाध्य न करें। सुनिश्चित करें कि सेट किए गए पासवर्ड कुछ न्यूनतम जटिलता आवश्यकताओं को पूरा करते हैं। अधिकांश पासवर्ड सिस्टम के लिए लंबाई ट्रम्प जटिलता है, इसलिए मेरी राय में एक चर मानक सबसे अच्छा है। जैसे कि:

• कोई भी पासवर्ड 10 अक्षरों से कम नहीं होगा।
• 10-25 वर्णों के बीच पासवर्ड के लिए कम से कम 3 वर्ण सेट की आवश्यकता होगी।
• 25-40 वर्णों के बीच पासवर्ड के लिए कम से कम 2 वर्ण सेट की आवश्यकता होगी।
• 40 से अधिक वर्णों वाले पासवर्ड एकल वर्ण सेट का उपयोग कर सकते हैं।

सक्रिय निर्देशिका जैसी चीजों के लिए अंतर्निहित जटिलता योजनाएं इस तरह की थकाऊ प्रणाली का समर्थन नहीं करती हैं। यदि आप अपना पासवर्ड बदलने का वातावरण बनाते हैं तो आप इस तरह से सामान बना सकते हैं। क्योंकि शिफ्ट कुंजी के प्रत्येक उपयोग से वसा-उंगली घटना की संभावना बढ़ जाती है, कई वर्ण सेटों के साथ लंबे पासवर्ड विफल रहे हैं, विशेष रूप से सीखने के चरणों के दौरान असफल-लॉगिन घटनाओं की संभावना अधिक होती है। यदि आपके पास एक खाता-लॉकआउट सिस्टम है, तो यह एक बड़ा मुद्दा हो सकता है। उस व्यक्ति के लिए जो अपनी पसंदीदा कविता की तीसरी पंक्ति (63 अक्षर!) को अपने पास-वाक्यांश के रूप में उपयोग करता है, @ x0r h नहीं होने के कारण यह प्रवेश को तेज और कुशल बनाता है।

क्या तकनीक या जोखिम का माहौल काफी बदल जाना चाहिए और आपके पासवर्ड अब उतने जटिल नहीं हैं जितने होने चाहिए, एक तरह से पासवर्ड को समय-समय पर समाप्त करने के लिए डाल दिया जाता है। लोग आवश्यकता से अधिक परेशान हो जाएंगे, खासकर यदि आपने पहले कभी बदलाव के लिए मजबूर नहीं किया है, लेकिन यह आपकी सुरक्षा मुद्रा को बनाए रखने में आपकी मदद करेगा।

पासवर्ड का अनुमान लगाना मुश्किल है। जटिलता के स्तर को लागू करना, जिसके परिणामस्वरूप उपयोगकर्ता अपने पासवर्ड भूल जाते हैं या उन्हें नीचे लिखना पड़ता है, यह एक बुरी बात है, क्योंकि जटिलता द्वारा प्राप्त किसी भी सुरक्षा पूरी तरह से प्रक्रिया में खो जाती है। एक आदर्श दुनिया में (जो दुर्भाग्य से हम जहां रहते हैं वहां नहीं है) जटिलता और प्रयोज्य के बीच संतुलन व्यापार बंद होना चाहिए। बेशक अलग-अलग लोग अलग-अलग जगहों पर उस संतुलन बिंदु को देखेंगे।

X दिनों में नियमित रूप से पासवर्ड बदलने के पीछे का तर्क मुझ पर थोड़ा कम हुआ है। इसका कारण मैं आमतौर पर इसके लिए सुनी जाने वाली चोरी पासवर्ड की उपयोगिता को सीमित करता हूं, जिसके लिए मैं जवाब देता हूं कि किसी भी वास्तविक क्षति को लगभग निश्चित रूप से पहले कुछ घंटों के भीतर किया जाएगा। उदाहरण के लिए फ्रेड "मैरी के पासवर्ड से परिचित हो जाता है। जब तक कि लगभग उसी समय ऐसा न हो जाए कि मैरी उस पासवर्ड को बदल रही है, कल या अगले महीने बदलने पर क्या फर्क पड़ता है? क्या यह वास्तव में संभावना है कि फ्रेड पासवर्ड का उपयोग करने से पहले एक या दो सप्ताह इंतजार करेगा (यह मानते हुए कि सभी के साथ यही इरादा था)?

स्पष्ट रूप से पासवर्ड बदलना यदि कोई कारण या संदेह है कि यह आवश्यक हो सकता है तो यह एक संपूर्ण मामला है।

यदि एप्लिकेशन को ऐसी उच्च-स्तरीय सुरक्षा की आवश्यकता है, तो क्या आपने SecurID टोकन जैसी किसी चीज़ का उपयोग करने पर विचार किया है? इसका मतलब है कि उपयोगकर्ता को हर 60 सेकंड में एक नया पासवर्ड मिलता है; आपको पासवर्ड लिखने का उपयोग करके उनके बारे में चिंता करने की ज़रूरत नहीं है। हालांकि, ये पैसे खर्च करते हैं। समाधान कितना सुरक्षित है?

मुझे लगता है कि उपयोगकर्ताओं को जानकारी महत्वपूर्ण है। उन्हें बताएं कि पासवर्ड कैसे बनाएं और दो बार एक ही पासवर्ड का उपयोग न करने के लिए कितना महत्वपूर्ण है। पासवर्ड बनाने का एक आसान तरीका यह है कि एक वाक्य लें और हर शब्द में पहला अक्षर लें और कुछ संख्याएँ जोड़ें।

पूर्व। मुझे दुनिया पर शासन करना पसंद है = Iltrw99

उन्हें पासवर्ड बदलने के लिए मजबूर न करें, यह केवल उन्हें भ्रमित करेगा।

जबकि मैं हर तीन महीने में पासवर्ड बदलने से सहमत नहीं हूं, अगर आपकी कंपनी सार्वजनिक रूप से कारोबार करती है तो यह एक आवश्यकता है, और यह SOX के अनुरूप होने का हिस्सा है। साइड नोट: सर्बानस-ऑक्सले चूसते हैं।

मैंने जो कुछ नहीं देखा है, वह संसाधनों तक बाहरी पहुंच है।

मैं इस बात से सहमत हूं कि यदि आप एक समझदार पासवर्ड नीति चुनते हैं, जब तक कि कोई यह नहीं लिखता है कि किसी को भी उस पासवर्ड का अनुमान लगाने की संभावना नहीं है।

हालांकि मान लें कि आपके पास वेबमेल सुलभ ऑफ़साइट है, अब आपके पास संभावित रूप से "किसी भी पुराने पीसी" और IMO पर अपने क्रेडेंशियल्स टाइप करने वाले उपयोगकर्ता हैं जो स्पाइवेयर / मालवेयर / ट्रोजन और इसके द्वारा आपके पासवर्ड को चोरी करने वाले / चोरी करने वाले पासवर्डों के जोखिम को बढ़ाते हैं। ।

यदि लोग सरल पासवर्ड लिखते हैं, तो आपको क्या लगता है कि वे एक विशाल पासफ़्रेज़ या सुपर जटिल पासवर्ड नहीं लिखेंगे। वृद्धिशील पासवर्ड परिवर्तन क्या पूरा करते हैं, उपयोगकर्ता आईडी का अब स्वचालित रूप से उपयोग में नहीं है, और यह व्यक्तिगत उपयोगकर्ता को इस सब में कुछ जिम्मेदारी देने की अनुमति देता है। लोग लोग होने जा रहे हैं, कुछ पूरा करने के लिए आसान सड़क की तलाश कर रहे हैं; बार-बार पासवर्ड और आकस्मिक रूप से बदले गए पासवर्ड का पता लगाया जा सकता है और इनकार किया जा सकता है। जटिलता आवश्यकताओं को कम किया जा सकता है, मजबूर पासवर्ड परिवर्तन भी गैर-आईटी उपयोगकर्ताओं की आँखों को इस सब में जिम्मेदारी देने के लिए खोल सकते हैं। पासवर्ड परिवर्तन की शिकायत करने वाले अधिकांश उपयोगकर्ता आलसी हैं जो अपने पासवर्ड को बदलने का दिखावा करते हैं, यह ओपन हार्ट सर्जरी की तरह है। रोना बंद करो, जिम्मेदार बनो, और आसान सड़क खोजने की कोशिश करना बंद करो,