Менять пароль или не менять?
Nov. 13th, 2015 11:10 am![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
leo_sosnineВ родной коммуне обсуждение:
http://ru-sysadmins.livejournal.com/2452828.html
В нынешнем мире приходится соответстовать, например, ПЦИ ДСС 3.0 требует менять пароли на все аккаунты, имеющие отношение к доступу к данным платёжных карт, минимум раз в 90 дней (п. 8.2.4). Но по уму если -- да, слишком частая смена паролей наоборот ведёт к понижению уровня безопасности засчёт разных идиотских эффектов, типа, повышения вероятности того, что юзер пароль запишет на стикер и приклеит к монегу/положит под клаву, что забудет и потеряет производительность труда, что будет менять по схеме ЙаТупойНоябрь2015 и так далее, об этом был в районе 2007 рисёч от замечательного Росса Андерсона, щас погуглил и нинашол, но это есть у него в одной из книжек.
В итоге, достаточно сложный пароль (ну, например, 12 символов+, большие-малые, цифры, спецсимволы, нет словарных слов) ящитаю менять смысла нет чаще, допустим, раза в год.
Присоединяйтесь к обсуждению, это брэйн-сторм, мнения высказываются самые разные
ЗЫ Тут ещё, конечно, играет большой рояль чем хэшируете. Если вы дурак и хэшируете МД5 -- то, конечно, меняйте пароль лучше ежедневно. А если это ПБКДФ2 на 100500 раундов с солью и юзернеймом, то раз в год, имхо, будет ок.
http://ru-sysadmins.livejournal.com/2452828.html
В нынешнем мире приходится соответстовать, например, ПЦИ ДСС 3.0 требует менять пароли на все аккаунты, имеющие отношение к доступу к данным платёжных карт, минимум раз в 90 дней (п. 8.2.4). Но по уму если -- да, слишком частая смена паролей наоборот ведёт к понижению уровня безопасности засчёт разных идиотских эффектов, типа, повышения вероятности того, что юзер пароль запишет на стикер и приклеит к монегу/положит под клаву, что забудет и потеряет производительность труда, что будет менять по схеме ЙаТупойНоябрь2015 и так далее, об этом был в районе 2007 рисёч от замечательного Росса Андерсона, щас погуглил и нинашол, но это есть у него в одной из книжек.
В итоге, достаточно сложный пароль (ну, например, 12 символов+, большие-малые, цифры, спецсимволы, нет словарных слов) ящитаю менять смысла нет чаще, допустим, раза в год.
Присоединяйтесь к обсуждению, это брэйн-сторм, мнения высказываются самые разные
ЗЫ Тут ещё, конечно, играет большой рояль чем хэшируете. Если вы дурак и хэшируете МД5 -- то, конечно, меняйте пароль лучше ежедневно. А если это ПБКДФ2 на 100500 раундов с солью и юзернеймом, то раз в год, имхо, будет ок.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2015-11-13 07:52 pm (UTC)Один ответ я понял - если кто-то готов ломать пароль в течении двух месяцев по перехваченной зашифрованной записи - то смена пароля через месяц - это выход. Но банки обычно предлагают менять пароль раз в полгода, а на счетах чаще всего суммы типа месячной зарплаты. Явно по полгода нет смысла напрягаться над взломом.