Регулярная смена паролей


11 0

Очень часто в книжках по безопасности можно увидеть утверждения, что пароли нужно менять регулярно, чтобы их было сложнее подобрать. Я тоже был согласен с этим утверждением и тоже писал этот бред. Даже в системах безопасности ОС есть правила, которые заставляют пользователей регулярно менять пароли. На последних двух местах работы эти политики регулярно используются и после года использования этого бреда, я понял, что это бред. Как я раньше этого не замечал и почему другие не видят?

Утверждение о регулярной смене паролей может быть верным только если длина пароля ограничена 10 символами. В этом случае подбор пароля вполне решаемая задача и регулярная смена может повысить безопасность. Если ограничений нет, то лучше просто всем объяснить, что выбирать пароли надо длиннее и сложнее.

Итак, в чем же заключается бред? Я заметил, что когда пользователя принуждают регулярно менять пароли, то они просто перестают придумывать что-то сложное. Каждые два три месяца запоминать новый и сложный пароль никто не будет. Если в системе настроена политика, что следующий пароль не должен повторять пять предыдущих, то пользователи начинают упрощать пароли еще сильнее. Именно из-за этого в моду снова возвращаются пароли qwe123, qwer1234, qwe321, zxc123 и тому подобное.

У кого в системе настроены эти жесткие политики паролей? Признайтесь честно, как сильно ваш последующий пароль отличается предыдущего? На сколько сложные пароли вы придумываете? Лично я задолбался придумывать каждый раз реально сложные пароль, хотя раньше любил набивать что-то случайное и запоминать.

Я проанализировал одну небольшую большую базу паролей с жесткой политикой и пришел к выводу. Если в политике паролей написано, что один из символов должен быть большой буквой, то 90% большой сделают именно первую букву. Если в политике обязательна цифра или какой-нибудь тупой символ, то его просто добавляют в конец. Это значит, что политику без проблем может пройти пароль: Password1 и безопасность его будет минимальна. При следующей смене пароля пользователь выберет Password2. Ну а у одного пользователя я увидел очень гениальное решение, он установил себе пароль Summer1. Такой пароль точно не забудешь и я уже знаю, что он установит через три месяца (по ходу осталось чуть больше месяца).

База была небольшая и не может сделать мое утверждение законом, но рассуждения вполне логичны. Ну не любят юзеры запоминать сложное множество раз. Лучше менять реже, но зато просто поощрять пользователей выбирать реально сложные пароли и это будет на много выгоднее.

Если вы администратор, то я бы посоветовал вам проанализировать пароли, которые установили пользователи и подумать, может им дать запомнить один пароль на целый год, но реально сложный.


Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку пока еще никто не лайкал и ты можешь быть первым


Комментарии

olegmaster

24 Июля 2010


Если вы администратор, то я бы посоветовал вам проанализировать пароли, которые установили пользователи и подумать, может им дать запомнить один пароль на целый год, но реально сложный.

уже 3 года подряд делаем все по уму. на критических участках генерим раз в год рандомные пароли, вводим сами и раздаем их пользователям. подобрать такие пароли просто исключено и каждый не похож на предыдущий нисколько. база всех паролей находится только в одном бумажном экземпляре в сейфе, доступ к которому ограничен.
один и тот же пароль нельзя оставлять навсегда - это небезопасно. элементарно, пароль может быть случайно (или умышленно) в течение года скомпрометирован.
ну и прочие административные меры жесткие: отошел от рабочего места хоть на 2 минуты в туалет, обязан залочить вход в систему и т.п.


Михаил Фленов

24 Июля 2010

Раз в год запомнить сложный пароль можно. У меня на последних двух работах заставляют менять пароли каждые три месяца. Мне впадлу.


n00b1k

24 Июля 2010

Имею шесть сложных 12-14 символьных паролей которые помню наизусть и использую для аккаунтов систем, остальные храню в KeePass (рекомендую у использованию)


yuriy6_6

25 Июля 2010

Интересно,Михаил,а в книге "Linux глазами хакера" 3-е издание Вы уже изменили своё мнение о частой смене паролей?


Михаил Фленов

25 Июля 2010

Нет, я только недавно стал задумываться и только на этой неделе пришел к выводу, что частая смена паролей заставляет пользователей выбирать слишком простые пароли.


Роман Костенко

25 Июля 2010

А ещё пользователи страдают такой фигнёй: пароль пишут на бумажках и приклеивают на монитор. От этого не отучить =)


Михаил Фленов

25 Июля 2010

И делают это они из-за того, что слишком часто приходится менять пароли и запоминать их впадлу.


Евгений

26 Июля 2010

Так нужно включить политику "Пароль должен отвечать требованиям сложности" и мин. длину в 10 символов, тогда у пользователей не будет возможности использовать простые пароли.


Павел

28 Июля 2010

"И делают это они из-за того, что слишком часто приходится менять пароли и запоминать их впадлу."
Не слишком часто. Просто есть пользователи, которые не в состоянии (или не хотят) запоминать пароли, любой сложности.
У нас каждые пол года меняют пароли. И действительно, слышал что циферки добавляют в конец пароля - и все )


Mapper720

04 Августа 2010

А не лучше ли пользоваться менеджерами паролей?


x64

31 Октября 2010

пользовательские пароли не меняю. меняю пароль сервера (раз в пару месяцев, иногда реже), чижило и, что немаловажно, есть вероятность его забыть (вот и вчера, виндуза-сервер написала, что через 6 дней пароль устареет).
но пользователей мучать этим, конечно, не нужно (исключение, пожалуй, только одно — база скомпрометирована).
а то некоторые сайты грешат тем, что требуют смены пароля, а сменить его — целая песня (недавно, вернувшись из Сочи, обнаружил, что не могу зайти на xap. “тикетная” война за получение нового пароля заняла 3 суток)


Добавить Комментарий

Еще что-нибудь

Хотите найти еще что-то интересное почитать? Можно попробовать отфильтровать заметки на блоге по категориям.

О блоге

Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю

Обратная связь

Без проблем вступаю в неразборчивые разговоры по e-mail. Стараюсь отвечать на письма всех читателей вне зависимости от страны проживания, вероисповедания, на русском или английском языке.

Пишите мне