Как часто вы меняете свой пароль администратора / root?

12

У меня плохая привычка редко менять пароль администратора в моем домене. Пароли, которые я использую, довольно хороши, но я хочу быть более последовательным в этом.

Как вы думаете, это хорошая частота? Возможно каждые 6 месяцев?

user24555
источник
90 дней - это хорошая общая рекомендация по смене паролей.
Warner
В Unix вы можете использовать такой инструмент, как sudo, что означает, что определенным пользователям могут быть предоставлены привилегии суперпользователя на короткое время. Им не нужно знать пароль пользователя root. На самом деле, вы можете сойти с рук, не имея ни одного сета или даже не зная его. В этом случае вам не нужно менять его. Пользователи должны будут изменить свои собственные пароли, хотя.
Мэтт
О боже, после прочтения всех этих постов я точно знаю, что есть один домен, в котором я иногда работаю (в котором я не являюсь системным администратором, но у меня есть учетная запись администратора), где administratorпароль был тем же самым в течение 7 лет, и это всего 8 символов в длину. Может быть, я отправлю им письмо ...
Марк Хендерсон

Ответы:

9

Давайте сделаем быстрый расчет (и на мгновение забудем лучшие практики):

Предположим, что атакующий взломает вашу систему на шесть месяцев. Предположим также, что пароли выбираются случайным образом из набора символов размером 62.


Сценарий 1: Вы используете 9-символьный пароль на все шесть месяцев.

Сценарий 2. Вы используете 9-символьный пароль в течение первых трех месяцев и другой 9-символьный пароль для остальных трех месяцев.

Сценарий 3: Вы используете 10-символьный пароль на все шесть месяцев.


В Сценарии 1 злоумышленник грубой силы взламывает ваш аккаунт со 100% уверенностью, если он может сделать 62 ^ 9 попыток за это время.

В Сценарии 2 , если он может делать только (62 ^ 9) / 2 попытки за половину времени (три месяца), он взломает аккаунт с 50% уверенностью. Во втором тайме он получит еще один шанс с 50% уверенностью. По статистике, он взломает аккаунт с вероятностью 75%.

В Сценарии 3 у него будет 62 ^ 9 попыток за все шесть месяцев. Но есть 62 ^ 10 возможностей. Так что он взломает аккаунт только с уверенностью 1/62, то есть около 1,6%.


Поэтому, если мы не учтем все другие факторы (например, украденные пароли и другие виды атак), рекомендуется выбирать более длинные пароли, чем использовать более короткие (или более простые) пароли, даже если они меняются чаще. Тем более, что в Сценарии 3 нужно запомнить только 10 символов, а в Сценарии 2 - 18 символов.

Крис Лерчер
источник
2
+1, используйте очень длинные пароли. Никто на самом деле не собирается взламывать 18-символьный пароль через 6 месяцев. Если они действительно хотят, чтобы ваши данные были такими плохими, они просто взломали бы и украли сервер.
Крис С
Люблю это, хорошо поставить. С паролями ... размер имеет значение.
Кара Марфия
Таким образом, хороший длинный пароль должен хорошо работать довольно долго. Я думаю, что я просто использую хороший пароль и сделаю 12-месячный цикл. Это даст мне хорошую возможность задокументировать все, что может сломаться (к сожалению). Изменить: под доброй я имею в виду 16+ символов. Мне нравится использовать предложения, которые включают пунктуацию и пробелы и все.
user24555
Я всегда хихикаю, когда кто-то говорит о грубом взломе пароля. Это не случится. Период. Только АНБ (или эквивалентный) или организованная преступность могут к этому, и в этом случае у вас есть гораздо большие проблемы, которые не могут быть решены с хорошим паролем в любом случае.
Дэн Андреатта
Добавляя к предыдущему комментарию, я быстро подсчитал, и для взлома 6-символьного пароля на современном рабочем столе потребуется около 1 дня, а для 8-символьных паролей - 10 лет. Производительность для шифрования, если из теста скорости openssl.
Дэн Андреатта
2

Мы в основном Windows, и у каждого из администраторов есть своя учетная запись администратора домена, и мы просто доверяем друг другу, чтобы иметь надежные пароли и менять их время от времени. Я уверен, что у всех есть надежные пароли, потому что мы используем давление сверстников, чтобы гарантировать, что они длинные и содержат цифры и / или символы, но мы не меняем их достаточно часто. \

ДОБАВЛЕНО: К настоящему времени большинство людей, вероятно, слышали это, но на всякий случай. Эксперт по шифрованию и безопасности Брюс Шнайер говорит, что вы должны иметь надежные пароли и записывать их.

Опека - Восстановите Монику
источник
Как это давление со стороны сверстников работает? Могут ли люди видеть пароли друг друга?
Билл Вайс
2
Исходя из моего опыта, ни один пользователь не может доверять самостоятельно менять свой пароль, даже ИТ-персонал.
ITGuy24
@ Билл: нас всего трое, и мы работали вместе долгое время, поэтому давление со стороны сверстников звучит так: «Я не видел, чтобы вы набирали какие-либо цифры только тогда ...»
Уорд - Восстановите Монику
Это не очень хорошо масштабируется :) Кроме того, привычка наблюдать за тем, как люди вводят свои пароли администратора, не очень подходит, если вы часто заходите на другие сайты.
Билл Вайс
Как насчет того, чтобы иметь что-то вроде «клятвы»? Если другому администратору удастся взломать ваш пароль (используя что-то вроде ophcrack), вы должны положить 5 долларов в банк.
Nic
1

Хотя теоретически было бы гораздо лучше часто менять пароли, фактор «давайте напишем, что после публикации» увеличивается экспоненциально по мере сокращения срока действия.

Если это только для частного использования, почему бы не использовать аутентификацию с открытым ключом и иметь только хороший PW для вашей связки ключей?

Александр Т
источник
1
Этот вопрос содержит массу
Ward - Восстановите Monica
1

Вы на самом деле говорите об учетной записи администратора для домена (SID: S-1-5-21domain-500), или вы говорите об учетной записи администратора, которую вы создали для себя, чтобы вы могли получить полезные журналы о том, кто что делает?

Обычно я настраиваю учетную запись администратора на длинный (более 20 символов) пароль, сохраняю пароль в безопасном месте и никогда не использую эту учетную запись. Я обычно только меняю этот пароль каждый год или около того. В нашей сети также есть системы блокировки, которые должны предотвращать очень эффективные атаки с использованием грубой силы. Поскольку я никогда не использую пароль для выполнения повседневных задач, вероятный перехват его почти не существует.

Если вы говорите о моем личном аккаунте, которому я предоставил права администратора, я склонен менять его примерно каждые 6 месяцев. Я также склонен использовать аутентификацию на основе ключей всякий раз, когда это возможно, поэтому мой пароль очень редко передается в любом месте. Я также обычно не работаю с тем, что, по моему мнению, большинство людей считают системами высокого риска.

Zoredache
источник
Я говорю об администраторе домена. Моя учетная запись не является частью группы администраторов домена. Я думаю, что было бы неплохо прекратить использовать первоначального администратора домена и создать вторичного администратора домена с другим именем пользователя.
user24555
0

Независимо от того, какие сложные пароли вы можете установить. Рекомендуется менять пароль каждые 30–42 дня. 6 месяцев слишком старый пароль. Всегда должна быть реализована хорошая политика паролей, чтобы оставаться в безопасности :-)

Вивек Кумбхар
источник
4
Где вы придумываете «от 30 до 42 дней»?
Билл Вайс
Рекомендуется, чтобы срок действия паролей истекал каждые 30–90 дней, в зависимости от вашей среды. Таким образом, у злоумышленника есть ограниченное время для взлома пароля пользователя и доступа к вашим сетевым ресурсам. По умолчанию: 42. Не мои слова, взяв его из «Best Practices»
Вивек Кумбхар
1
Как насчет дать нам ссылку на документ или ссылку, где это указано, вместо того, чтобы просто повторять, что это «лучшая практика». Я обычно отказываюсь считать что-то лучшим, если это не опубликовано в надежном источнике.
Зоредаче
1
конечно .. рад, что вы спросили technet.microsoft.com/en-us/library/cc784090(WS.10).aspx
Вивек Кумбхар
Инструмент поиска моего браузера должен быть сломан. Я не вижу там "42".
Билл Вайс
-1

Обычно я сбрасываю пароли root только после ухода сотрудника ... но призываю пользователей с доступом sudo менять свои каждые 90 дней.

Филипп
источник