Eine dauerhafte Passwortänderung ist keine so gute Idee

Viele von uns, die in Technologieunternehmen unterschiedlicher Größe arbeiten, waren wiederholt nicht mit den komfortabelsten Sicherheitsrichtlinien konfrontiert. Und wenn Schlüsselkarten, Zeiterfassung und Überwachung der Netzwerkaktivität die Norm sind, vorausgesetzt, das Unternehmen hat etwas vor Wettbewerbern zu verbergen, ist das ständige Ändern von Passwörtern ein langwieriges Ereignis.

Dieses Phänomen hat jeden in einer anderen Zeit erreicht. Der Autor stieß im bereits fernen Jahr 2013 auf diese Mode bei Sicherheitsleuten. Wie aus heiterem Himmel war die gesamte Organisation von den Nachrichten verblüfft: „Innerhalb von zwei Wochen müssen Sie die Passwörter ändern, und in Zukunft werden sie alle drei Monate zwangsweise geändert.“ Und ich werde Ihnen sagen, dass dies keine zu kurze Zeit ist. In einem anderen Unternehmen kann der admin-samodur nicht anders aufgerufen werden, der auch die Rolle des "Sicherheitsdienstes" übernahm und eine Passwortänderungsfrist von einem Monat festlegte. Es war übrigens am angenehmsten, in den Urlaub oder in den Krankenstand zu fahren und von dort auf das gesperrte Konto zurückzukehren (VPN weigerte sich, auch unter Androhung von Folter zu geben), aber dies ist bereits ein Text.

Für diejenigen, die Passmanager wie KeePass verwendeten, war es nicht so beängstigend, aber der Teil der Mitarbeiter, der sich auswendig an ihre Passwörter erinnerte, war ein wenig (eigentlich sehr) traurig.

Die ständige Änderung von Kennwörtern, anstatt das Sicherheitsniveau innerhalb des Unternehmens zu erhöhen, führt nur dazu, dass das Sicherheitsniveau abnimmt. Dafür gibt es eine Reihe angemessener Gründe.

Die meisten normalen Benutzer neigen dazu, sich ihre Passwörter zu merken, und nicht jeder verwendet Passmanager. Wenn Sie Ihrer Familie oder Ihren Freunden empfehlen, ihre Passwörter alle paar Monate zu ändern, tun Sie ihnen einen schlechten Dienst. Schließlich führt eine ständige Änderung des Passworts zu:

• Um es zu vereinfachen, ist es schwierig, sich ein komplexes Passwort sofort zu merken, und Sie müssen es anscheinend die ganze Zeit verwenden.
• , , , , , .;
• , . , . «» . .

Das deutlichste Beispiel für das „Aufzeichnen“ und in diesem Fall das Ausdrucken von Passwörtern. Im Jahr 2015 gab es einen Artikel über Habré über das Hacken eines französischen Fernsehsenders, in dem das diskutierte „Memo“

Okay auf Sendung gedreht wurde . Wenn wir an einem persönlichen Arbeitsplatz die Möglichkeit haben, einen Passmanager zu installieren und die Probleme nicht kennen, gibt es Situationen, in denen eine Person einfach keine Software von Drittanbietern auf einem Arbeitscomputer installieren kann.

Haben Sie sich jemals gefragt, warum der Kassierer bei einigen komplexen Operationen in der Bank Ihrer Meinung nach so lange zappelt und nicht versteht, was?

Ein gewöhnlicher Angestellter (Kassierer) verwendet in seiner Arbeit etwa ein Dutzend Konten in verschiedenen Software- oder Segmenten. Zusätzlich zur Eingabe des Kontos während des Vorgangs muss jedes mit seinem eigenen Passwort und oft genug mit dem Passwort des leitenden Kassierers oder des Abteilungsleiters bestätigt werden (wir alle hörten diesen Schrei „KONTROLLE!“). Von Bank zu Bank können sich alle Passwörter etwa einmal im Monat ändern, einige sogar noch häufiger.

Theoretisch sieht alles anständig aus. Passwörter, wo immer nötig, nicht weniger als acht Zeichen, überall unterschiedlich. In der Praxis werden sie alle universell auf Papier aufgezeichnet und in den Westentaschen oder unter der Tastatur aufbewahrt.

Infolgedessen erhalten wir anstelle eines zweistufigen Sicherheitssystems ein Sieb mit den bereits erwähnten „Memos“, nur weil die Meinung besteht, dass „das Ändern von Passwörtern einfach so nützlich ist“.

Eine der häufigsten Möglichkeiten, sich ein Passwort zu merken, wenn die Verwendung eines Pass-Managers nicht möglich ist, Sie das Passwort jedoch alle N Tage ändern müssen, ist die Standardisierung. Diese Tatsache wird durch eine Studie auf dem Gebiet der Sicherheit von Mitarbeitern der University of North Carolina im Jahr 2010 bestätigt.

In ihrer Arbeit simulierten sie die Generierung von Passwörtern durch Benutzer nach dem Prinzip der Standardisierung und führten dann auf dieser Grundlage einen „Angriff“ auf Konten durch, wobei die Erschöpfung der wahrscheinlichsten Passwörter berücksichtigt wurde, bevor das Sicherheitssystem auf das Geschehen reagiert. Entsprechend den Bedingungen der Aufgabe befand sich in den Händen der Angreifer die „alte“, irrelevante Bankbasis für 7700 Konten. Zu diesem Zeitpunkt gelang es den Forschern unter Berücksichtigung der gemusterten Passwörter, in weniger als 5 Versuchen Zugang zu 17% (!!!) Bankkonten zu erhalten. Weitere 41% der Rechnungen wurden in etwa 3 Sekunden gehackt.

Detailliertere algorithmische Berechnungen finden Sie in der Arbeit selbst .

Diese Studie bestätigt erneut, dass es besser ist, ein komplexes Passwort zu erstellen, wenn eine Person keine Möglichkeit hat, spezielle Software zum Speichern von Schlüsseln zu verwenden, als es ständig durch einfachere Optionen zu ersetzen.

Schließlich ist unser Gehirn von Natur aus ein Mist, deshalb versucht es, alles zu vereinfachen und zu planen. Und dies führt wiederum dazu, dass eine permanente Kennwortänderung, wenn es sich um ein Vorlagenkennwort handelt (und dies geschieht meistens), nicht hilft, sondern nur die Möglichkeit ausschließt, wenn unsere selbst irrelevanten Daten in die Hände von mehr oder weniger gerissenen Eindringlingen gelangen mit einem wirklich schwer zu knackenden Schlüssel.

Source: https://habr.com/ru/post/de396733/