पासवर्ड समाप्ति की नीतियां [बंद]

एक आपूर्तिकर्ता से सिर्फ एक ईमेल प्राप्त करने के बाद हमें सूचित किया कि वे हमें हर छह महीने में अपना पासवर्ड बदलने के लिए मजबूर करेंगे, मैं यह देखने के लिए उत्सुक हूं कि लोग क्या पासवर्ड समाप्ति नीतियों का उपयोग करते हैं और उनका उपयोग क्यों करते हैं।

इसे कभी न बदलने और बहुत बार बदलने के बीच यहाँ एक महीन रेखा है। वर्षों के लिए समान पासवर्ड रखना अक्सर एक अच्छा समाधान नहीं होता है, खासकर अगर यह सार्वजनिक रूप से उपलब्ध है। लेकिन इसे बार-बार बदलने की कठोर नीति के लिए भी अक्सर दुष्प्रभाव होते हैं। एक जगह पर मैंने काम किया, हर 6 वें सप्ताह में सभी उपयोगकर्ताओं को पासवर्ड बदलने के लिए आंतरिक नेटवर्क पर मजबूर किया और पासवार्ड छह अन्य पासवर्डों के समान नहीं हो सका। तीन गलत पासवर्डों ने कार्य केंद्र को बंद कर दिया, और आईटी कर्मचारियों को इसे अनलॉक करना पड़ा। जिसके परिणामस्वरूप सभी को पोस्ट-इट नोट्स पर पासवर्ड लिखना पड़ा जो स्क्रीन पर लटका हुआ था या उनके दराज में रखा गया था। बुरा सपना।

मैं कहूंगा कि हर 6 महीने में एक बार पासवर्ड बदलना चाहिए। यह उन खूंखार पोस्ट-इट नोट्स से बच जाएगा।

मेरा सुझाव है कि गणित में थोड़ा सा काम करें जो आपकी न्यूनतम पासवर्ड जटिलता को ध्यान में रखता है, एक हमलावर कितनी तेजी से पासवर्ड का अनुमान लगा सकता है, आपके पास अनलॉक किए गए खातों की संख्या और आपके जोखिमों के बारे में कुछ जानकारी दी गई है।

उम्मीद है कि आपके पास पासवर्ड अनुमान लगाने के लिए किसी प्रकार की दर-सीमा है। आमतौर पर ऐसा कुछ के माध्यम से होता है जो अस्थायी पासवर्ड कुछ खराब पासवर्ड के बाद खाते हैं।

और उम्मीद है कि आपके पास कुछ प्रकार की पासवर्ड-जटिलता आवश्यकताएं हैं ताकि "ए" और "पासवर्ड" की अनुमति न हो।

मान लेते हैं कि 10 मिनट में 30 पासवर्ड विफल होने के बाद आप 20 मिनट के लिए किसी खाते को बंद कर देंगे। यह प्रभावी रूप से पासवर्ड अनुमान दर को 174 प्रति घंटे या प्रति दिन 4176 तक सीमित करता है। लेकिन मान लें कि यह प्रति उपयोगकर्ता है।

मान लेते हैं कि आपको ऊपरी, निचले और एक नंबर वाले 8+ कैरेक्टर के पासवर्ड की आवश्यकता है, और यह सुनिश्चित करने के लिए कि आप कुछ पासवर्ड चेक करते हैं, उन पासवर्डों को यथोचित रूप से यादृच्छिक माना जाता है। सबसे खराब स्थिति यह है कि आपके उपयोगकर्ता सभी एक ही जगह पर एक ऊपरी, और एक नंबर डालते हैं और आपका हमलावर इसे जानता है, इसलिए आपको 10 * 26 ^ 7 (80G) संभावित पासवर्ड मिल गए हैं। सबसे अच्छा मामला 62 ^ 8 (218T) है।

इसलिए, हर संभव पासवर्ड की कोशिश करने वाला एक हमलावर उन सभी को सबसे बुरे मामले में 50,000 वर्षों के भीतर और लगभग 600 मिलियन मिलेनिया को मार देगा। या, इसे दूसरे तरीके से कहें, तो एक साल में उन्हें 50,000 में से 1 और अनुमान लगाने के 52,000,000,000 में 1 के बीच होगा। यदि आपके पास 50,000 का उपयोगकर्ता आधार है, तो यह लगभग गारंटी है कि सबसे खराब स्थिति में वे प्रति वर्ष एक खाते में आएंगे और हर 6 महीने में एक खाता प्राप्त करने की लगभग 50% संभावना है।

और अगर आपके पास कोई दर सीमित नहीं थी और एक हमलावर एक दिन में एक अरब पासवर्ड का अनुमान लगा सकता है? एक साल में खाते में आने के 600 में से एक मौका, या हर साल अपने 50,000 उपयोगकर्ताओं में से 80 पाने की आभासी गारंटी।

उस गणित पर काम करें, और यह पता लगाएँ कि आपका स्वीकार्य जोखिम स्तर कहाँ है। और याद रखें कि जितना छोटा आप इसे सेट करते हैं, उतना ही यह उपयोगकर्ताओं को याद रखने के लिए कठिन होगा और अधिक संभावना है कि उन्होंने इसे किसी साइट पर हमलावर के लिए सुविधाजनक स्थान पर लिखा होगा।

अतिरिक्त बोनस के रूप में: यदि कोई आपके सिस्टम के खिलाफ प्रति दिन प्रति उपयोगकर्ता हजारों पासवर्ड की कोशिश कर रहा है, तो मुझे वास्तव में उम्मीद है कि आपके पास कुछ प्रकार की निगरानी होगी जो इसे उठाएगी।

EDIT: उल्लेख करना भूल गया: हमारी वास्तविक नीति 90 दिन की है, लेकिन गुमराह सुरक्षा लेखा परीक्षकों द्वारा निष्कर्षों के साथ सब कुछ है और वास्तविकता के साथ कुछ नहीं करना है।

अधिकांश परिदृश्यों के लिए 90 दिन पर्याप्त प्रतीत होते हैं। मेरी सबसे बड़ी चिंता पासवर्ड जटिलता है। पोस्ट-इट नोट्स को जनरेट करने में समयावधि से अधिक समय की बाध्यता है। शब्दकोश शब्दों से बचना एक बात है और दूसरे में विशेष वर्ण होना, लेकिन जब आप यह कहना शुरू करते हैं कि कोई भी चरित्र दोहराव या अवरोही क्रम में नहीं हो सकता है, तो आपने अपने उपयोगकर्ताओं को मुश्किल में डाल दिया है। इसे एक संक्षिप्त पासवर्ड जीवन में जोड़ें और आपने अभी और मुद्दों में स्वागत किया है।

पासवर्ड की समाप्ति कष्टप्रद है और सुरक्षा को कम करती है।

पासवर्ड की समाप्ति उस स्थिति से बचाव करती है जहां एक हमलावर ने एक उपयोगकर्ता के पासवर्ड से एक बार पहले ही समझौता कर लिया है, लेकिन यह पता लगाने का एक तंत्र नहीं है कि यह चल रहे आधार पर क्या है (उदाहरण के लिए क्लोजर)

हालाँकि, इससे पासवर्ड याद रखना भी मुश्किल हो जाता है, और अधिक संभावना है कि उपयोगकर्ता उन्हें लिख देंगे।

जैसा कि पहले से ही समझौता किए गए पासवर्ड के खिलाफ बचाव वास्तव में आवश्यक नहीं है (आप आशा करते हैं), मैं पासवर्ड की समाप्ति को बेकार मानता हूं।

उपयोगकर्ताओं को आरंभ करने के लिए एक मजबूत पासवर्ड चुनने के लिए प्राप्त करें; उन्हें इसे याद रखने के लिए प्रोत्साहित करें, फिर उन्हें इसे बदलने की आवश्यकता नहीं है, कभी भी, या वे उन्हें हर जगह लिख देंगे।

यदि आपके पास एक उपकरण है जिसे "उच्च से अति-उच्च" सुरक्षा गारंटी की आवश्यकता है, तो आप एक हार्डवेयर टोकन का उपयोग करने से बेहतर हैं जो पासवर्ड समाप्ति होने पर भरोसा करने के बजाय एक बार पासवर्ड उत्पन्न करता है।

एक पासवर्ड एक्सपायरी सिस्टम के लिए मुख्य "जीत" यह है कि आप, आखिरकार, एक खाता अक्षम हो जाएगा यदि खाता धारक संगठन को छोड़ देता है, तो खाता धारक को अतिरिक्त "चेक और बैलेंस" के रूप में "अक्षम होना चाहिए" पत्ते"।

पासवर्ड की समय सीमा समाप्त करने के लिए, सबसे अच्छा, उच्च-गुणवत्ता वाले पासवर्ड के लिए लिखा गया है और सबसे खराब स्थिति में खराब पासवर्ड (पिछले कार्यस्थल पर, एक बार जब हम पासवर्ड समाप्ति का उपयोग करने के लिए मजबूर हो गए थे, तो मैंने (अनिवार्य रूप से) उपसर्ग JJ2003, prefixFeb2003 का उपयोग करके समाप्त कर दिया और इसी तरह पासवर्ड बनाने की मेरी पसंदीदा विधि के रूप में (48 यादृच्छिक बिट्स, बेस 64-एन्कोडेड) "हर महीने नए पासवर्ड" के पैमाने पर नहीं है)।

मुझे लगता है कि यदि आप 10 अलग-अलग सुरक्षा पेशेवरों से यह सवाल पूछते हैं - तो आपको 10 अलग-अलग उत्तर मिलेंगे।

यह बहुत हद तक इस बात पर निर्भर करता है कि पासवर्ड की सुरक्षा कितनी महत्वपूर्ण है।

यदि आपके पास अत्यधिक सुरक्षित संपत्ति है, तो आपको अपनी पासवर्ड समाप्ति की नीति को बहुत कम समय तक सेट करने की आवश्यकता है ताकि किसी भी बाहरी घुसपैठिए के पास पासवर्ड को बाध्य करने का समय न हो। इस स्थिति में एक अन्य चर पासवर्ड पर जटिलता के किस स्तर की आवश्यकता है।

निम्न से मध्यम सुरक्षा प्रणालियों के लिए मुझे लगता है कि 6 महीने की समाप्ति की नीति बहुत उचित है।

उच्च स्तर की सुरक्षा के लिए मुझे लगता है कि एक महीना बेहतर होगा - और 'अल्ट्रा' सुरक्षित प्रतिष्ठानों के लिए भी कम समय अवधि की उम्मीद की जाएगी।

हम यहां (सभी सहित) पर 90 दिनों का पासवर्ड एक्सपायरी लागू करते हैं।

ज्यादातर क्योंकि यह बस सबसे अच्छा अभ्यास है। "कमजोर" पासवर्ड का उपयोग करने वाले किसी व्यक्ति की संभावना, बनाम एक मजबूत अधिक से अधिक होता है और जितनी देर आप इसे छोड़ते हैं, संभवतः एक दीर्घकालिक, अनिर्धारित सुरक्षा उल्लंघन का परिणाम होगा।

हम सालाना पासवर्ड समाप्त करते हैं और 10 वर्णों से अधिक लंबे समय तक मजबूत (अधिमानतः यादृच्छिक) पासवर्ड की आवश्यकता होती है। जब हम उन्हें बदलते हैं तो हम लोगों के पासवर्ड पर शब्दकोश हमले करते हैं। हम पिछले पासवर्ड हैश रखते हैं ताकि पासवर्ड का दोबारा इस्तेमाल न किया जा सके। हम पासवर्ड में संभावित तारीखों के लिए भी जाँच करते हैं जैसे कि वैटाइन ने कहा। ;) आखिरी मेरा जोड़ था ...

एक पूर्व नौकरी में, हमने हर दो महीने में एक नए नेटवर्क सुरक्षा प्रशासक के इशारे पर अधिक बार खर्च करने की कोशिश की। पहले मजबूर बदलाव के दो हफ्ते बाद, मैं उसे हमारे प्रशासनिक कार्यालयों के आसपास ले गया और हमने लोगों के कीबोर्ड और माउसपैड्स को देखा। उनमें से 50% से अधिक के पास एक पासवर्ड लिखा था, जो नीचे लिखा था। जब हम बैठ गए और प्रशासनिक कर्मचारियों से बात करने के बाद नीति को ढीला करने में उन्हें खुशी हुई - उनकी राय थी कि उनके पास इसे याद करने के लिए पर्याप्त समय नहीं था।

इन दिनों हमारा अधिकांश सामान कुछ साइलो के भीतर सिंगल साइन-ऑन है। कैंपस संसाधन (शायद ही कभी ज्यादातर लोगों के लिए उपयोग किया जाता है) एक साइलो में होते हैं और उस पासवर्ड को हमारे केंद्रीय आईटी समूह द्वारा प्रबंधित किया जाता है। विभागीय संसाधन (दैनिक उपयोग - मशीन लॉगिन, ईमेल, वेबसाइट संपादन, फोटोकॉपियर) हमारे समूह द्वारा प्रबंधित एक पासवर्ड है, जो वार्षिक रूप से भी समाप्त हो जाता है। यदि लोग निराश होने के बारे में सोचते हैं, तो हम बताते हैं कि उनके पास वास्तव में याद रखने के लिए केवल एक पासवर्ड है।

इन दिनों, मैं एक यादृच्छिक फ़ाइल पर / var / लॉग में एक md5sum उत्पन्न करता हूं और अपने पासवर्ड के लिए एक सबसेट का उपयोग करता हूं।

हमने कुछ साल पहले इस बारे में बहुत चर्चा की थी जब हमने एक पासवर्ड समाप्ति नीति शुरू की थी । हमने एडी ट्री के खिलाफ इंद्रधनुष तालिकाओं के साथ एक l0phcract रन समाप्त किया था, यह देखने के लिए कि यह कितना बुरा था, और यह बहुत भयानक था। उपयोगकर्ताओं के एक आँख से खून बहने की संख्या में अभी भी उनके "हेल्पडेस्क टेम्प" पासवर्ड का उपयोग करने के बाद कॉल किया जाता है / पासवर्ड रीसेट के लिए छोड़ने के बाद, कुछ भयावह जैसे 30% "पासवर्ड" या उनके पासवर्ड के रूप में कुछ संस्करण (p @ $ $ w0rd, आदि) । इसने प्रबंधन को आश्वस्त किया कि ऐसा होने की जरूरत है।

उच्चतर संस्करण होने के कारण, एक अंतराल का चयन करते समय हमारे पास गर्मी थी। हमारे बहुत सारे संकाय गर्मियों के दौरान नहीं पढ़ाते हैं, इसलिए हमारे हेल्पडेस्क को "मैं अपना पासवर्ड भूल गया" कॉल के रूप में जाना था, क्योंकि वे सभी सितंबर में वापस आते हैं। मुझे लगता है, और मैं गलत हो सकता है, कि हमारे अंतराल 6 महीने के समर-क्वार्टर अपवाद के साथ है। इसलिए यदि आपके 6mo पासवर्ड की समय सीमा समाप्त हो गई है, तो यह मध्य-अगस्त में समाप्त हो रहा है, इसे बेतरतीब ढंग से जल्दी से जल्दी अक्टूबर में रीसेट करने के लिए फिर से शुरू किया जाएगा।

एक बेहतर सवाल यह है कि आपके उपयोगिता खाते और व्यवस्थापक पासवर्ड कितनी बार घुमाए जाते हैं। सभी को अक्सर पासवर्ड बदलने की नीतियों से छूट मिलती है। उपयोगिता खाता पासवर्ड परिवर्तन के लिए उन सभी लिपियों से कौन गुजरना चाहता है? और कुछ बैकअप सिस्टम उपयोग किए गए-पासवर्ड को बदलना कठिन बनाते हैं, जो व्यवस्थापक पासवर्ड को बदलने के लिए एक कीटाणुनाशक प्रदान करता है।

पासवर्ड को बार-बार समाप्त करने के साथ एक बड़ी समस्या यह है कि लोग उन्हें याद रखने के लिए संघर्ष करेंगे, इसलिए आपके पास या तो कमजोर या समान पासवर्ड का उपयोग करने वाले लोग होंगे, या यदि आपकी नीति इसकी अनुमति नहीं देती है, तो वे उन्हें याद रखने में मदद करने के लिए पासवर्ड लिखना शुरू कर देंगे। । जब आपके लोग उन्हें भूल जाएंगे, तो आपके पास पासवर्ड बदलने के अनुरोध भी अधिक होंगे।

व्यक्तिगत रूप से, यह इस बात पर निर्भर करता है कि पासवर्ड का उपयोग किस लिए किया जाता है, लेकिन मैं पासवर्ड को 3 महीने से अधिक नहीं रखने देता हूं, जब तक कि यह एक पूर्ण खाता न हो। उच्च जोखिम वाले सामान के लिए, हर महीने या तो यह अच्छा है, और यदि कोई अन्य व्यक्ति जानता है तो वह इसे छोड़ देता है। क्योंकि मैं एक छोटे से कंप्यूटर समर्थन व्यवसाय में काम करता हूं, हमारे पास कई पासवर्ड हैं जो बहुत से लोगों के बीच साझा किए जाते हैं, इसलिए हम उन्हें अक्सर बदलना नहीं चाहते हैं, क्योंकि व्यवधान के कारण यह हो सकता है।

अब तक की रोचक टिप्पणियाँ। बेशक, हमेशा यह बहस क्यों होती है कि पासवर्ड याद रखना किसी कंपनी में तकनीकी बनाम गैर-तकनीकी कर्मियों का मुद्दा है? कंप्यूटर हार्डवेयर / सॉफ्टवेयर के साथ किसी की क्षमता क्या है, सुरक्षा को गंभीर लेने की उनकी क्षमता से कोई लेना-देना नहीं है? क्या कोई गैर-तकनीकी व्यक्ति अपना क्रेडिट कार्ड या डेबिट पिन # देगा? इसके अलावा, यह अपने डेस्क पर नोट के बाद के पासवर्ड रखने वाले लोगों को बर्खास्तगी के लिए आधार होना चाहिए। इसका कमाल यह है कि लोगों की याददाश्त कैसे सुधरेगी जब उन्हें वास्तव में सुरक्षा का एहसास होगा और इसे गंभीरता से लिया जाना चाहिए। मैं इसे अलग नहीं देखता कि ड्रेस कोड और काम पर नीतियों का संचालन। नियमों का पालन करें या अलविदा!

मुझे लगता है कि अधिक सुरक्षित पासवर्ड होना अक्सर इसे बदलने की तुलना में अधिक महत्वपूर्ण है, लेकिन दोनों निश्चित रूप से एक सुरक्षित प्रणाली के लिए आवश्यक हैं।

तर्क यह जाता है कि जटिल पासवर्ड को याद रखना मुश्किल है, और कर्मचारियों को उन्हें लिखने के लिए नेतृत्व करना है। इस पर मेरा विश्वास है कि अधिकांश हमले बाहर से आते हैं , और यहां तक ​​कि एक जटिल पासवर्ड को लिखना और अपने मॉनिटर पर टैप करना एक साधारण पासवर्ड को याद रखने की तुलना में अधिक सुरक्षित है।

मैं एक बार पैड और टाइम-टोकन आधारित प्रमाणीकरण को लागू कर रहा हूं, इसलिए, सिद्धांत रूप में, उपयोगकर्ता हर बार लॉग इन करता है।

हालांकि यह यकीनन ऑफ टॉपिक है, लेकिन एक बार का पैड एक बेहतर उपाय है।

इसी तरह, और अधिक मूल रूप से, यह सुनिश्चित करना कि उपयोगकर्ता एक मजबूत पासवर्ड बनाता है, और आपकी सुरक्षा नीति के पीछे की नैतिकता को समझता है (इसे नीचे न लिखें, इसे अपना जन्मदिन न बनाएं, किसी को भी न दें) बस उन्हें हर nth समय-आधारित अंतराल को बदलने के लिए मजबूर करने की तुलना में।