Менять пароль или не менять?

Nov. 13th, 2015 11:10 am
leo_sosnine: (Default)
[personal profile] leo_sosnine
В родной коммуне обсуждение:

http://ru-sysadmins.livejournal.com/2452828.html

В нынешнем мире приходится соответстовать, например, ПЦИ ДСС 3.0 требует менять пароли на все аккаунты, имеющие отношение к доступу к данным платёжных карт, минимум раз в 90 дней (п. 8.2.4). Но по уму если -- да, слишком частая смена паролей наоборот ведёт к понижению уровня безопасности засчёт разных идиотских эффектов, типа, повышения вероятности того, что юзер пароль запишет на стикер и приклеит к монегу/положит под клаву, что забудет и потеряет производительность труда, что будет менять по схеме ЙаТупойНоябрь2015 и так далее, об этом был в районе 2007 рисёч от замечательного Росса Андерсона, щас погуглил и нинашол, но это есть у него в одной из книжек.

В итоге, достаточно сложный пароль (ну, например, 12 символов+, большие-малые, цифры, спецсимволы, нет словарных слов) ящитаю менять смысла нет чаще, допустим, раза в год.

Присоединяйтесь к обсуждению, это брэйн-сторм, мнения высказываются самые разные

ЗЫ Тут ещё, конечно, играет большой рояль чем хэшируете. Если вы дурак и хэшируете МД5 -- то, конечно, меняйте пароль лучше ежедневно. А если это ПБКДФ2 на 100500 раундов с солью и юзернеймом, то раз в год, имхо, будет ок.
Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2015-11-13 05:17 pm (UTC)
From: [identity profile] vladimir1911.livejournal.com

Я не специалист - не понимаю вообще, почему частая смена ИНДИВИДУАЛЬНОГО пароля повышает безопасность? Можете, хотя бы намекнуть?

Date: 2015-11-13 05:24 pm (UTC)
From: [identity profile] leo-sosnine.livejournal.com

Пароли хранятся много где потому что. Как правило не в чистом виде (если не идиоты), а в виде хэшей. В типовой корпоративной винде, например, они а) хранятся от локальных учёток в виде сам нтлм хэш б) нтлм кэш от доменных учёток в) летают по сети во время аутентификации в виде нетнтлм хэшей г) керберос АС-респонсах и преаутетнификациях в виде зашифрованного юзернейма, нонса и мелочей при помощи использования ключа являющегося деривативом введённого юзером пароля.

Если эта информация незаметно крадётся (возможности есть), то пароль необходимо подобрать, т.к. хэширование это односторонняя необратимая функция. Т.е. нужно тупо словарём или брутфорсом пробовать различные сочетания в надежде на выходе получить тот же хэш. Необязательно, кстати, что хэш получится из того же пароля, т.к. возможны коллизии.

Всё это занимает время, зависящее от а) мощностей по подбору б) сложности пароля в) использованного алгоритма хэширования. В ваших силах контролировать б и в а также возраст пароля, если возраст пароля всегда меньше чем современные возможности его подобрать и пароль достаточно сложен (в идеале рандомен), то бояться нечего.

Date: 2015-11-13 07:52 pm (UTC)
From: [identity profile] vladimir1911.livejournal.com
Спасибо за подробный ответ. Я стал немного больше понимать уязвимые для взлома места систем доступа по паролю, но ответа на свой вопрос так и не понял. Как прикладной математик я интуитивно предполагаю, что для паролей должна выполняться гипотеза эргодичности в приблизительно таком виде: "уязвимость, скажем, на протяжении шести месяцев системы, где пароль меняется каждый месяц, равна уязвими системы где пароль на протяжении шести месяцев является неизменным". Это если отбросить человеческий фактор - компрометация пароля в результате его смены. Вот почему это не так (если это не так) ?

Один ответ я понял - если кто-то готов ломать пароль в течении двух месяцев по перехваченной зашифрованной записи - то смена пароля через месяц - это выход. Но банки обычно предлагают менять пароль раз в полгода, а на счетах чаще всего суммы типа месячной зарплаты. Явно по полгода нет смысла напрягаться над взломом.
Edited Date: 2015-11-13 08:58 pm (UTC)

Date: 2015-11-13 05:48 pm (UTC)
From: [identity profile] blazzer.livejournal.com
когда уже по отпечатку пальца сделают
нет сил все эти пароли помнить и особенно менять
например, пароль от айклауда я сбрасываю КАЖДЫЙ раз при логине, а ведь они еще и годовую историю хранят, суки
Edited Date: 2015-11-13 05:48 pm (UTC)

Date: 2015-11-13 05:57 pm (UTC)
From: [identity profile] lev.livejournal.com
и чем лучше отпечаток?

Date: 2015-11-13 06:05 pm (UTC)
From: [identity profile] blazzer.livejournal.com
его нельзя забыть и нельзя заставить менять

Date: 2015-11-13 06:28 pm (UTC)
From: [identity profile] lev.livejournal.com
его пока что невозможно хэшировать
и, да, его невозможно сменить.
поэтому когда отпечаток украдут - пиши пропало.

Date: 2015-11-13 07:22 pm (UTC)
From: [identity profile] gray-bird.livejournal.com

Неправильно!
поэтому когда отпечаток украдут... Останется еще девять!

Date: 2015-11-13 08:05 pm (UTC)
From: [identity profile] blazzer.livejournal.com
дык никто не обещал халяву
было бы так просто - я бы сам давно уже сделал и обогатился
я прекрасно понимаю challenges, увыъ.

Date: 2015-11-13 06:51 pm (UTC)
From: [identity profile] leammas.livejournal.com
Его еще и не сменить.
А по теме, не меняю с момента регистрации в инет-банке, двухфакторной авторизации с лихвой хватает.

Date: 2015-11-14 04:23 am (UTC)
From: (Anonymous)
а чо мд5, солить пароли уже немодно?

Date: 2015-11-15 05:15 am (UTC)
From: [identity profile] john-doe.livejournal.com
На одной работе винды требовали менять пароль раз в три месяца - инкриментировал цифирку в конце. Ибо бред же, иначе не упомнить, или на бумажку писать, да.

Date: 2015-11-18 08:04 pm (UTC)
From: [identity profile] vovney.livejournal.com
А как винде повысить уровень сложности хэша?
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

leo_sosnine: (Default)
leo_sosnine

November 2024

S M T W T F S
     12
3456789
10111213141516
17181920212223
24252627282930

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Jul. 28th, 2025 05:48 am
Powered by Dreamwidth Studios