¿Existe un beneficio de seguridad en una política de cambio de contraseña regular?

14

En varios casos, descubrí que obligar a los usuarios a cambiar su contraseña de forma regular se convierte en una carga para el mantenimiento en lugar de una ayuda para la seguridad. Además, he visto a los usuarios escribir sus nuevas contraseñas, ya que no tienen suficiente tiempo para recordar sus contraseñas y no pueden molestarse en volver a aprender otra.

¿Qué beneficio de seguridad hay para forzar un cambio en las contraseñas?

gak
fuente

Respuestas:

8

Aquí hay una versión diferente del diario SANS:
Reglas de contraseña: cámbielas cada 25 años.

Hay un beneficio práctico. Si alguien tiene su contraseña, y todo lo que quiere es leer su correo electrónico y permanecer sin ser detectado, puede hacerlo para siempre, a menos que finalmente cambie su secreto de inicio de sesión. Por lo tanto, cambiar la contraseña regularmente no ayuda mucho a que alguien entre y se meta con sus productos, pero sí le da la oportunidad de sacudirse a cualquier acosador o fisgón que pueda tener acceso a su cuenta. Si esto está bien. Pero si este beneficio solo vale la molestia y las desventajas mencionadas de obligar a los usuarios a cambiar su contraseña cada 90 días, tengo mis dudas.

nik
fuente
Y ese artículo pierde el único punto clave: sin el requisito de cambio de contraseña, todos terminan conociendo la contraseña de los demás. Las amenazas internas son un riesgo mucho mayor que las externas.
Doug Luxem el
@DLux, ¿por qué supone que los usuarios nunca cambiarán sus contraseñas? A medida que el tiempo evoluciona, las personas tienen que aprender a asegurar sus recursos en función del valor que ven en ellos (y no por la fuerza administrativa). Si se lo fuerza de manera preventiva, es muy probable que un usuario busque (y encuentre) una forma de conservar la misma contraseña después del cambio. Cambiarán la contraseña solo cuando realmente quieran.
nik
1
Es un hecho que los usuarios van a compartir sus contraseñas entre sí. Requerir cambios ocasionales agrega una barrera suficiente para compartir (es decir, las contraseñas compartidas que conocen dejan de funcionar). Si no crees que tus usuarios comparten contraseñas, entonces probablemente no las conozcas lo suficiente.
Doug Luxem
1
@DLux, los conozco lo suficientemente bien como para observar que cuando se comparten las contraseñas, cualquiera de las personas conocedoras cambiaría la contraseña cuando se les obligue a hacerlo, y, probablemente, con un patrón predefinido. Es muy difícil diseñar algoritmos que tengan en cuenta la Ingeniería Social de las mentes humanas. Hay algo incompleto en algún lugar del tipo Gödel.
nik
11

Fuerce un cambio de contraseña cuando lo adivine (ejecutando un programa de adivinación de contraseña en todos sus usuarios todo el tiempo).

Es difícil discutir con "tienes que cambiar tu contraseña" cuando la respuesta a "¿por qué?" es "porque pudimos adivinarlo a ciegas". Recompensa automáticamente a aquellos que eligen contraseñas difíciles de adivinar y les enseña a los usuarios qué contraseñas son débiles. Si eligen "contraseña1", caducará antes de que puedan iniciar sesión una vez. Si un usuario elige una contraseña alfanumérica aleatoria, de mayúsculas y minúsculas de 16 caracteres, nunca la adivinará, y nadie más lo hará. Permítales que lo conserven por mucho tiempo, e incluso podrán memorizarlo.

retroceder
fuente
Eso es brillante. Malvado, pero brillante.
acólito
6

Es una compensación. Requerir cambios frecuentes de contraseña da como resultado contraseñas de menor calidad. Incluso ha habido investigaciones en este sentido.

Dicho esto, la única forma confiable que he encontrado para evitar que los usuarios compartan contraseñas es exigir cambios periódicos de contraseña. Mi experiencia muestra que 90 días parece ser un compromiso decente entre usabilidad y seguridad. Si pasa más tiempo, las personas comienzan a confiar en contraseñas compartidas, antes y terminan con "November09", "December09".

Doug Luxem
fuente
5

Lo peor de forzar un cambio en las contraseñas no es que realmente estés causando que las personas cambien sus contraseñas. Es que generalmente viene con poca o ninguna advertencia, y se ven inmediatamente con un problema que deben resolver de inmediato, por lo que en lugar de darle tiempo a alguien para pensar una buena contraseña, es más probable que sea una menos segura pero más fácil de recordar, o más seguro, pero simplemente se anota, lo que niega la ventaja de seguridad.

Jason S
fuente
3
En una situación estándar de AD, se le advierte en cada inicio de sesión durante 15 días antes de que sea necesario.
MDMarra
2

Si las contraseñas son de suficiente complejidad para que no sean fáciles de adivinar, y no se comparten entre los sistemas, y es poco probable que se haya visto comprometida, entonces cambiar una contraseña probablemente no sea tan importante.

Sin embargo, si ocurre alguno de estos, y los dos primeros son probablemente más comunes que no, obligar a las personas a cambiar la contraseña periódicamente significa que es menos probable que compartan las contraseñas, al menos.

Dicho esto, elegiría educar a sus usuarios sobre lo que significa una buena contraseña y por qué es muy malo compartirla. Anotarlos es común sin importar lo que hagas.

Recomiendo a las personas que elijan una contraseña de un libro que conocen, recordando alguna cita que no les sea tan familiar o inventando una frase. Use la primera letra de cada palabra y agregue dos números dentro de alguna parte. La mayoría de la gente puede recordar eso después de haberlo escrito varias veces.

Michael Graff
fuente
2

No veo ningún beneficio en esa práctica en absoluto.

La contraseña segura es mucho más importante. Por fuerte quiero decir 9+ símbolos alfanuméricos + especiales, o una contraseña / frase de 15+ [az] que no es del diccionario (esto se basa en un estudio reciente del costo de las contraseñas de fuerza bruta usando el EC2 de Amazon).

Los sistemas de acceso remoto deben tener software de detección y prevención de fuerza bruta (por ejemplo, fail2ban) en todos los servicios expuestos. Esto es mucho más importante, IMO, que la política regular de cambio de contraseña.

cronos
fuente
Pero un ataque de fuerza bruta supone que el atacante tiene una copia de su contraseña cifrada. ¿Con qué frecuencia sucede eso realmente?
Chris
Uno podría ejecutar un ataque de fuerza bruta contra un archivo de contraseñas (como usted dice) o contra un servicio de red expuesto con autenticación de contraseña. Para obtener el archivo de contraseñas, uno necesita obtener al menos cierto nivel de acceso al sistema de destino (ya sea físico o remoto), y creo que usar un exploit en ese punto en lugar de descifrar contraseñas es una opción muy viable (y eficiente). Para concluir, creo (pero no puedo probar) que la posibilidad de que alguien obtenga una copia de las contraseñas cifradas es casi lo mismo que alguien que obtiene acceso no autorizado al sistema de destino, utilizando otros enfoques.
cronos
La protección de las contraseñas es mucho más lenta que atacar una contraseña cifrada. Por lo general, si tengo la contraseña cifrada, ya tengo acceso de nivel de administrador o control físico.
Chris
eso es lo que digo :) Estoy usando "fuerza bruta" tanto para ataques remotos como para descifrar contraseñas.
cronos
2

El problema básico es que las contraseñas, como mecanismo de seguridad, apestan.

Si le pide a la gente que los cambie con frecuencia, ellos los escriben. Si les pide que usen contraseñas de 30 letras con al menos 3 números, 4 letras mayúsculas y un carácter de control, las olvidan o las escriben o hacen otras cosas tontas. Si son simples, los usuarios usarán una contraseña estúpida como bunny7 o Bunny7. Y usarán la misma contraseña incorrecta para todo, incluida su cuenta de pornografía y su cuenta de hotmail.

Me gustan las herramientas como Mobile OTP , que permiten a los usuarios usar su teléfono celular como una herramienta de autenticación de dos factores.

A largo plazo, es probable que aterricemos de alguna manera en un mundo con certificados encriptados como mecanismo de identificación del usuario. Cosas como OpenID y CAS simplifican la autenticación del usuario y permiten un inicio de sesión único conveniente.

A largo plazo, la mejor opción es reducir la cantidad de veces que los usuarios necesitan emitir credenciales: deshacerse de la contraseña "HR" y la contraseña de "hoja de tiempo" y la contraseña "CRM". Unifíquelos en una infraestructura de autenticación común que requiera que los usuarios emitan sus credenciales una vez. Luego pídales que usen algo como MobileOTP o un RSA SecurID que use autenticación de dos factores.

A corto plazo, las políticas de contraseña serán el tema de las guerras religiosas. Simplemente haga lo que su jefe le pida, y si usted es el jefe, use su criterio en función de su base de usuarios y el perfil de seguridad esperado.

¡Buena suerte!

Chris
fuente
1

Esta práctica, que no es del todo inútil, fue mucho más importante hace mucho tiempo. Debatir esta política es en realidad contraproducente, ya que desvía la atención de las amenazas actuales que son mucho más graves.

Considerar:

  • Si usa Windows / AD y una cuenta no tiene marcada la casilla "La cuenta es confidencial y no se puede delegar", esa cuenta se puede usar mediante suplantación y no se requiere contraseña. El código para hacer esto es trivial.

  • Si la estación de trabajo de Windows de una persona se ve comprometida por una vulnerabilidad de seguridad, su token de seguridad de Windows en memoria se puede usar para acceder a otras computadoras. Nuevamente, no se requiere contraseña.

La segunda, por cierto, es la razón por la que solo debe acceder a los servidores utilizando una cuenta que sea diferente de su cuenta de usuario habitual diaria. También tenga en cuenta que ambos escenarios derrotan por completo incluso los mecanismos de autenticación de dos factores más robustos.

Lo mejor que podría ocurrir con respecto a la seguridad de la contraseña es dejar de debatirla y centrarse en las amenazas más contemporáneas y graves.

Más información:

Echa un vistazo a la presentación de Luke Jennings, "Una ficha para gobernarlos a todos":

http://eusecwest.com/esw08/esw08-jennings.pdf

Insomnia Shell: ejemplo del código requerido para comprometer los tokens en un servidor ASP.Net:

http://www.insomniasec.com/releases/tools

Cómo: Usar la transición de protocolo y la delegación restringida en ASP.NET 2.0

http://msdn.microsoft.com/en-us/library/ms998355.aspx

Busque "sin contraseña".

Greg Askew
fuente
0

Cuanto más tiempo permanezca sin cambios una contraseña, más probable será que se vea comprometida, simplemente porque habrá más oportunidades para que ocurran situaciones en las que puede verse comprometida (dado un tiempo infinito, todo es posible). También hace que sea más difícil cambiar en el futuro, ya que el usuario se habrá acostumbrado al anterior. Otro riesgo es que si se ve comprometido y el usuario desconoce el hecho, existe la posibilidad de que se produzca un mal uso continuo y serio de la cuenta del usuario. Los cambios periódicos al menos mitigarán eso ya que el próximo cambio de contraseña forzado hará que la contraseña comprometida sea inútil.

En mi experiencia, el escenario más probable para que los usuarios escriban contraseñas es la falta de pensamiento conjunto en su infraestructura de seguridad, como tener múltiples sistemas diferentes, todos los cuales requieren su propio combo de nombre de usuario y contraseña únicos. Lanza 5 de esos a un usuario y obtendrás un síndrome de nota adhesiva amarilla con venganza.

Una política de contraseña razonable que permite a los usuarios elegir contraseñas fáciles de recordar pero difíciles de descifrar, junto con una buena educación del usuario, una autenticación integrada sólida y políticas de bloqueo y caducidad decentes, todo respaldado por un AUP que prohíbe explícitamente el intercambio de contraseñas, es la mejor manera.

Maximus Minimus
fuente
¿Simplemente porque? por favor explique ! ¿Están sus sistemas sujetos a ataques continuos de terceros? ¿Quizás algún tipo de IDS esté en orden en lugar de cambiar la contraseña?
Tim Williscroft el
Nunca dije que eran mis sistemas, pero no, están sujetos a una colmena insidiosa, nefasta y miserable de escoria y villanía conocida como "Usuarios finales de la vida real". Los usuarios son flojos, no les importa la seguridad ("es el problema de otra persona") y solo quieren que todo sea lo más fácil posible para ellos. Se trata de un acto de equilibrio.
Maximus Minimus
0

Si está almacenando en caché las credenciales (que la mayoría de la gente hace por disponibilidad), entonces esto es imprescindible. Si una computadora es robada físicamente y se habilita el almacenamiento en caché de credenciales, entonces el ladrón puede forzar a la máquina a salir de la red sin temor a que se active la política de bloqueo de cuenta. Luego tienen credenciales válidas para los recursos de su red. Cambiar estas contraseñas a intervalos regulares puede ayudar a minimizar este daño.

Esta es la razón exacta por la que nunca inicia sesión con una cuenta privilegiada, siempre inicia sesión como usuario limitado y eleva las indicaciones individuales, esto evita que las credenciales privilegiadas sean forzadas en caso de robo / robo.

MDMarra
fuente
1
Cambiar las contraseñas regularmente no ayudará mucho con las computadoras robadas; a menos que siempre se asegure de que la contraseña caduque antes de que alguien la robe ...: P Solo los hackers más estúpidos esperarían varios días después de obtener acceso antes de explotarla ...
Stein G. Strindhaug
0

Estoy en el campo de nunca requerir cambios de contraseña. O como dice el artículo, cada 25 años, sí, estaré muerto entonces. Bueno. He aquí por qué ... Tengo 12 contraseñas para recordar en mi trabajo. La mayoría de ellos cambian y los que cambian están en horarios totalmente diferentes. Todos tienen diferentes requisitos de resistencia. ¿Cómo puede un humano débil hacer frente a esto? He visto varias formas: escríbalas en una pizarra blanca. Escríbalos en un papel y guárdelos en un cajón desbloqueado. o mi método preferido: almacenarlos en una hoja de cálculo de documentos de Google bastante insegura. No hay forma de convencerme de que ninguno de estos métodos (que son MUY comunes) no compensa totalmente ningún pequeño beneficio de seguridad obtenido al requerir cambios.

Tengo tiempo para escribir esta publicación porque estoy esperando que alguien en el soporte de TI desbloquee una de mis cuentas. Aparentemente no actualicé mi hoja de cálculo correctamente la última vez. ¿Hay algún estudio que calcule los MIL MILLONES de dólares perdidos por estas tonterías?

Bob Damiano
fuente