Периодическая смена паролей — устаревшая практика, пришло время от неё отказаться

    Во многих IT-системах действует обязательное правило периодической смены паролей. Это, пожалуй, самое ненавистное и самое бесполезное требование систем безопасности. Некоторые пользователи в качестве лайфхака просто меняют цифру в конце.

    Такая практика вызывала массу неудобств. Однако людям приходилось терпеть, ведь это ради безопасности. Теперь этот совет совершенно не актуален. В мае 2019 года даже компания Microsoft наконец-то убрала требование периодической смены паролей из базового уровня требований безопасности для персональных и серверных версий Windows 10: вот официальное заявление в блоге со списком изменений к версии Windows 10 v 1903 (обратите внимание на фразу Dropping the password-expiration policies that require periodic password changes). Сами правила и системные политики Windows 10 Version 1903 and Windows Server 2019 Security Baseline внесены в комплект Microsoft Security Compliance Toolkit 1.0.

    Можете показать эти документы начальству и сказать: времена изменились. Обязательная смена паролей — архаизм, теперь практически официально. Даже аудит безопасности теперь не будет проверять это требование (если он ориентируется на официальные правила по базовой защите компьютеров под Windows).


    Фрагмент списка с базовыми политиками безопасности Windows 10 v1809 и изменения в 1903, где соответствующие политики по времени действия паролей уже не применяются. Кстати, в новой версии по умолчанию также отменяются администраторский и гостевой аккаунты

    Microsoft популярно объясняет в блоге, почему отказалась от правила обязательной смены пароля: «Периодическое истечение срока действия пароля является защитой только от вероятности того, что пароль (или хэш) будет украден в течение его срока действия и будет использоваться неавторизованным лицом. Если пароль не украден, нет смысла его менять. И если у вас есть доказательства того, что пароль украден, вы, очевидно, захотите действовать немедленно, а не ждать истечения срока действия, чтобы устранить проблему».

    Далее Microsoft объясняет, что в современных условиях неправильно защищаться от кражи паролей таким методом: «Если известно, что пароль, вероятно, будет украден, сколько дней является приемлемым периодом времени, чтобы позволить вору использовать этот украденный пароль? Значение по умолчанию — 42 дня. Разве это не кажется смехотворно долгим временем? Действительно, это очень долго, и всё же наш текущий базовый показатель был установлен на 60 дней — а раньше на 90 дней — потому что форсирование частого истечения вводит свои собственные проблемы. И если пароль не обязательно будет украден, то вы приобретаете эти проблемы без пользы. Кроме того, если ваши пользователи готовы обменять пароль на конфетку, никакая политика истечения срока действия паролей не поможет».

    Альтернатива


    Microsoft пишет, что её базовые политики безопасности предназначены для использования хорошо управляемыми, заботящимися о безопасности предприятиями. Они также призваны служить руководством для аудиторов. Если такая организация внедрила списки запрещённых паролей, многофакторную аутентификацию, обнаружение атак с брутфорсом паролей и обнаружение аномальных попыток входа в систему, требуется ли периодическое истечение срока действия пароля? А если они не внедрили современные средства защиты, то поможет ли им истечение срока действия пароля?

    Логика Microsoft на удивление убедительна. У нас два варианта:

    1. Компания внедрила современные меры защиты.
    2. Компания не внедрила современные меры защиты.

    В первом случае периодическая смена пароля не даёт дополнительных преимуществ.

    Во втором случае периодическая смена пароля бесполезна.

    Таким образом, вместо срока действия пароля нужно использовать, в первую очередь, многофакторную аутентификацию. Дополнительные меры защиты перечислены выше: списки запрещённых паролей, обнаружение брутфорса и других аномальных попыток входа в систему.

    «Периодическое истечение срока действия пароля является древней и устаревшей мерой защиты, — подводит итог Microsoft, — и мы не считаем, что для нашего уровня базовой защиты стоит применять какое-либо конкретное значение. Удаляя его из нашего базового уровня, организации могут выбирать то, что наилучшим образом соответствует их предполагаемым потребностям, не противореча нашим рекомендациям».

    Вывод


    Если компания сегодня заставляет пользователей периодически менять пароли, что может подумать сторонний наблюдатель?

    1. Дано: компания использует архаичный защитный механизм.
    2. Предположение: компания не внедрила современные защитные механизмы.
    3. Вывод: эти пароли проще достать и использовать.

    Получается, что периодическая смена паролей делает компанию более привлекательной мишенью для атак.





    GlobalSign
    182.45
    Company
    Share post

    Comments 85

      +8
      там кто-то взломал майкрософт и сделал что-то логичное? или мамонт где-то умер?
        +7
        PCI-DSS пункт 8.2.4 (Как и ГОСТ Р 57580.1) всё это требуют. Так что можно хоть обдоказываться, но если ваша компания хоть как-то связана с финансовыми услугами — меняйте минимум один раз в 90 дней и точка.
          +2
          а где в госте про 90 дней?
          вижу
          Смена паролей пользователей не реже одного раза а год
            0
            Не знаете ли вы, а что с ISO стандартами? Например ISO 27001? Требуют ли эти стандарты периодической смены пароля?
              0

              А кем жди контролируется и что будет за нарушение?

                0

                *это

                  +3

                  PCI DSS — проверяется аудиторами по требованиям платёжных систем VISA и MASTERCARD. Так что если есть платежи по картам — весь контур, где происходят платежи обязан выполнять эти требования (включая переносные POS-терминалы).

                    +1

                    Спасибо.

                +4
                PCI-DSS пункт 8.2.4 (Как и ГОСТ Р 57580.1) всё это требуют.

                Требования PCI-DSS родились не на пустом же месте, а используют общепринятые рекомендации по безопасности в IT. Если сейчас массовый тренд идет на отказ от периодической смены паролей, и с логичным обоснованием, то в будущей редакции PCI-DSS его тоже уберут. А лет через 10-15 и в ГОСТе тоже.
                –2
                сейчас все ходят с смартфонами. Почему бы не научить сотрудников пользоваться любыми менеджерами паролей на телефоне. И пароль тогда может быть довольно сложным и менятьcя регулярно. да и вообще удобно.
                  +8
                  Почему бы компании не давать сотрудникам USB-ключ.
                    +11
                    Так и дают. И частенько, чтобы не теряли, на цепочку рядом с компьютером крепят. Я серьёзно.)
                      +6
                      У сбера я видел появились Touch Memory. Висит у каждого на шее и чтобы не снимать/не нагибаться сделали механизм рулетки.
                    +6
                    сейчас все ходят с смартфонами.
                    Не все.
                      +2
                      у нас так сделали
                      некоторым пришлось купить специально ради этого смартфон
                      а я все жду когда закрутят гайки и скажут что надо что бы телефон был обязательно без рута :-)
                        +3
                        И что бы не теряли телефон и он ВНЕЗАПНО не разряжался, его нужно пристегнуть бронированным USB-шнурком к компьютеру. И теперь заставим регулярно менять паттерн разблокировки телефона.
                          0
                          Бывает требование, чтобы телефон был зашифрован.
                            0
                            ну у меня он зашифрован, но при этом бут разлочен и установлен TWRP — только я не знаю на сколько это увеличивает уязвимость телефона…

                            В любом случае требование отсутствия рута может появиться.
                          +3
                          Это ни разу не удобно. Если надо войти в компьютер и пароль забыт, то:

                          — надо взять телефон
                          — надо разблокировать телефон
                          — надо запустить менеджер паролей
                          — надо разблокировать менеджер паролей
                          — надо найти нужный пароль там

                          Это всё довольно геморройно, особенно, если политика паролей заставляет использовать сложные пароли. Большинство людей не будет париться и, как и прежде, будет добавлять в конец любимого пароля цифру, чтобы не забывать его.
                            +7
                            Все еще хуже. Надо:
                            — Вспомнить или найти взглядом, где лежит телефон;
                            — Протянуть к телефону руку;
                            — Взять телефон в эту руку;
                            — Нажать кнопку включения экрана или открыть чехол;
                            — Приложить палец к сканеру отпечатков или ввести пин-код чтобы разблокировать телефон;
                            — Свернуть запущенное приложение, если оно есть;
                            — Вспомнить, как называется менеджер паролей;
                            — Найти менеджер паролей;
                            — Запустить и разблокировать менеджер паролей;
                            — Найти нужный пароль.
                            Отвратительно, кто вообще пользуется телефонами с таким-то геморроем каждый раз?
                              0
                              Да, вы ещё подробнее описали почему это так себе идея :)

                              Менеджеры паролей хорошо работают, если они хоть как-то интегрируются в рабочее окружение. Или когда пароли оттуда требуются крайне эпизодически.

                              А каждый день по несколько раз проделывать подобную процедуру — обязательно возникнет непреодолимое желание начать срезать углы. Например, на разблокировке телефона и менеджера паролей. Потом кто-то его потеряет.

                              Для основной учётной записи гораздо практичнее и безопаснее использовать запоминающийся и стойкий пароль — это может быть парольная фраза, например.

                              «СолнцеСелоЗаГорами» — запоминается легко, печатается быстро (так как слова привычные), ломать достаточно сложно.
                                +1
                                не знаю, как у вас, но во многих смартфонах разблокировка по отпечатку, что практически мгновенно разблокируется, как достается телефон из кармана
                                  0
                                  Конечно, но всё равно неудобно.

                                  У меня как раз так и есть — база паролей от всякой фигни в телефоне, телефон на отпечатке. Приходишь куда-нибудь, надо ввести — полез за телефоном, открыл менеджер паролей (пароль на него), нашёл там нужное (это всё быстро, но всё это отдельные операции), а там ещё пароль $up@duPaF1y8&!^ — извольте печатать по буквам. Нет, раз в високосный год это сделать не проблема, но регулярно — это гемор. И несознательные личности будут стремиться себя от него избавить хоть как-то.

                                  Если уж смартфон, то лучше он вторым фактором будет. Хотя, кмк, какой-нибудь токен в этом смысле привычнее и удобнее.
                                    0
                                    есть менеджеры паролей, которые встраиваются в броузер и другие программы и могут автозаполнять (к слову с мобильными тоже и могут автозаполнять по отпечатку)
                                      0
                                      Да, как я и написал выше:
                                      Менеджеры паролей хорошо работают, если они хоть как-то интегрируются в рабочее окружение.


                                      А рассчитывать, что рядовые сотрудники будет хранить в менеджерах паролей на телефоне сложные пароли от своих рабочих станций и радоваться этому — я бы не стал.
                                  +1

                                  По себе знаю, что пароль любой сложности при регулярном использовании запоминается за несколько дней. Максимум пару недель потребуется для пароля из 20 символов со всякими скобочками и прочими знаками пунктуации. Но, конечно, если его приходится набирать по несколько раз в день.

                                    +1
                                    Это вы по себе знаете, а пользователи знают по себе. Они бывают бухгалтеры (входят в комп два раза в сутки, утром и после обеда), бывают какие-нибудь прорабы (эти вообще могут раз в несколько дней приходить в штаб строительства, когда надо что-то в центр отправить и там «так, падажжи епрст...»).

                                    Потом они даже запомнят — а тут бах и снова пароль поменялся. А они далеки от идей ИБ, для них это ненужный гемор и какие-то причуды сисадминов, у них отчёты горят — вот это важно. Раз потыкаются, два потыкаются — и на третий под монитором появится бумажка.
                                      0

                                      Речь шла о многократном ежедневном вводе пароля. И что по двадцать раз на день лазить в менеджер паролей утомительно. Если же рассматривать ваш вариант, то пару раз в день можно и подссотреть пароль в менеджере паролей, неговоря уже о разе в неделю.

                                        0
                                        Можно.

                                        Но заставить это делать пользователей — другое дело.
                                  +1
                                  Да, действительно уже много архаики победили, а ведь раньше надо было взять сумочку, открыть сумочку, достать кошелочку, закрыть сумочку, открыть кошелочку, достать кошелек, закрыть кошелочку и т.д.…
                                    –2
                                    Напомнило детское:
                                    Как в три действия положить ежа в холодильник?
                                    … Не знаю.
                                    1. Открыть холодильник
                                    2. Положить туда ежа
                                    3. Закрыть холодильник.
                                    Как в шесть действий положить ежа в ящик?
                                    Открыть ящик, положить ежа, закрыть ящик?!
                                    Не-а. В шесть.
                                    Не знаю!
                                    Открыть холодильник. Взять ежа. Закрыть холодильник. Открыть ящик. Положить ежа. Закрыть ящик)))
                                    +4
                                    Это ни разу не удобно. Если надо войти в компьютер и пароль забыт, то:

                                    Вы забыли первый пункт:
                                    — надо оторвать задницу от стула
                                    +1
                                    не, не менеджер паролей нужен, а двухфакторная аутентификация. приложение на смартфоне, которое получит пуш от вашего сервера, с пинкодом.
                                      +4
                                      Зачем что-то пушить, когда есть TOTP, в котором токены генерятся вообще без подключения к сети?
                                        0
                                        Причём реализации TOTP есть даже для J2ME — смартфон не нужен.
                                      0
                                      1. Не все
                                      2. Но даже если все и ходят с смартфонами. Допустим установил там Google Authenticator или что-то еще. Но, смартфон твой, не компании… юридически она не может тебя заставить держать сам андроид чистый, тогда какая гарантия что у тебя нет в телефоне какой-нибудь вирус, который тоже будет знать эти токены. Да, кто-то скажет что у них срок 30 секунд, но! есть и системы которые выдают тебе коды раз в 30 секунд из определенного списка, а вот список вирус и может украсть.
                                        +2
                                        Только если рут есть то сможет украсть. И то не факт
                                        0
                                        Использовать менеджер паролей — это почти то же самое, что установить одинаковый пароль на все сервисы, которыми пользуешься.
                                          0
                                          Ваш товарищ по борьбе, Friedrich_Engels, с вами не согласится.
                                            +1
                                            Почему же? Подобрал мастер-пароль и вот он, пользователь, весь твой, со всеми своими явками и паролями.
                                              +1
                                              Ну да, всего-то делов — подобрать мастер-пароль. :)
                                                0

                                                Подобрал мастер-пароль И получил доступ к базе!

                                          +12

                                          Статья реально не о чем. Пришла сегодня инструкция по ИБ из министерства. Там :"полная плановая смена паролей пользователей раз в месяц". Мне этот пост в министерство отправить?

                                            0
                                            можно оригинальную статью отправить и когда количество превысит некоторый предел, возможно что-нибудь и поменяется…
                                              +4
                                              Статьи на эту тему только на Хабре появляются несколько раз в год на протяжении уже наверное десятка лет. И чёт никаких подвижек в сторону либерализации подхода к регулярной смене паролей я не наблюдаю.
                                                0

                                                Так если менять пароль, то это галочка в пункте безопасности. Если не менять, то пунктом меньше.

                                                +1
                                                Ну вот когда ФСТЕК в 17 и 21 приказах поменяют это требование — тогда и будем думать.
                                                +1
                                                Отправьте. Ведь они как-то должны чему-то учиться.
                                                  0
                                                  Посчитают спамом, или чего хорошего во вредители запишут. Им ведь ТАМ ВИДНЕЕ сверху как нужно…
                                                    0

                                                    Просто очень спорная мысль. Тут ниже про брутфорс Вы хорошо заметили. Ведь изначально ноги росли именно от времени взлома пароля.

                                                      0

                                                      Если хэш какой нибудь 256-и битный, то можно смело смену пароля раз в миллион лет ставить и не париться. А если пароль 123456, то надо раз в пол часа менять

                                                  +1
                                                  «Периодическое истечение срока действия пароля является защитой только от вероятности того, что пароль (или хэш) будет украден в течение его срока действия и будет использоваться неавторизованным лицом. Если пароль не украден, нет смысла его менять. И если у вас есть доказательства того, что пароль украден, вы, очевидно, захотите действовать немедленно, а не ждать истечения срока действия, чтобы устранить проблему».
                                                  Тут, почему-то, попытки брутфорса они оставили за скобками, а потом о них уже вспомнили. Ведь если вас постоянно брутят, и ваша система настолько тупа, что эти попытки не пресекает, то смена пароля очень мешает этим попыткам взлома. Конечно, если менять весь пароль, а не только цифирку в конце. Хотя, конечно, есть доля везения, что вы и ускорите этот процесс :)
                                                    0
                                                    Если система (как техника, так и персонал) настолько тупа, что позволяет брутить, то смена паролей раз в месяц-полтора вряд ли сильно поможет. А вот попытки сотрудников упростить себе жизнь в условиях смены паролей могут облегчить взлом.

                                                    Опять таки, запоминающийся пароль, который меняется редко, может быть и длинным — в виде фразы. «ЛошадкаИЕжикЛучшиеДрузья» — заколебутся брутить при самой минимальной защите :)

                                                    Там же, где попытки брута ожидаются и трудно предотвращаются (всякие там технические пароли, секретные ключи и т.п.), обычно и так стоит что-то случайно сгенерированное из 20-30 символов, так как это никто руками не вводит.
                                                    +7
                                                    У меня на работе был случай.
                                                    Проводили у нас аудит на проникновение в связи с PCI-DSS
                                                    Меня взломали, т.к в SMB была бага, что при авторизации отправлялись хэши паролей в сеть и отправлялись они без соли или что-то в этом роде. Microsoft исправила эту багу, но т.к я менял пароль более 5 лет назад, то мой хэш моего пароля отправлялся каждый раз одинаковый, без соли. А если бы я даже поменял пароль1 -> пароль2 -> пароль1, то пароль бы перезаписался где-то в системе и все было нормально. А так его поломали через rainbow crack.
                                                    Но это скорей косяк Windows, чем мой, он должен был потребовать поменять пароль в таком случае.
                                                    Вообще, практика показывает, что гораздо вероятней появление критической уязвимости в ПО, чем то, что кто-то сбрутфорсит пароль или он утечет.
                                                    А еще постоянное требование смены пароля приводит к тому, что он оказывается записан на бумажке и лежит рядом с клавиатурой. Или пароли становятся простыми типа qwerty12345. Потому что один пароль можно запомнить, два, три, а потом уже забывают. Не все пользуются менеджерами паролей. Аудита на тему «как человек решает проблему, что нужно постоянно запоминать где-то новый пароль, пользуется ли менеджерами паролей», такого аудита нет.
                                                      +4
                                                      Если ваш пароль лежит под клавиатурой, записанный на бумажке, то утечка через дыру в SMB ему не страшна :)
                                                      Если серьёзно — то при защите от угрозы извне, хранение пароля на бумажке может быть даже полезным (там он может быть сложнее, чем способен запомнить пользователь). А если защищаться от бумажек, то стоит следить, чтобы пользователь блокировал компьютер, как только уходит на пару минут и не сидел под другим аккаунтом, даже, чтобы помочь кому-то. Уровень угрозы такой же.
                                                      0
                                                      насколько я помню тот пост майкрософт, то там предлагалось не просто отказаться от периодической смены, а отслеживать утечки и по нахождению утечки менять пароли. многие ли готовы добавить себе задачу постоянно мониторить все утечки с учетом того, что пользователи имеют привычку использовать одинаковые пароли и дома и на работе?
                                                        0
                                                        Нужно сделать уведомление как у гугл. Там в случае входа с другого устройства сразу приходит оповещение на все авторизованные устройства.
                                                          0
                                                          Задача автоматизируемая на уровне менеджера паролей. Dark Web Monitoring у Dashlane (смотри правда по e-mail'у).
                                                          Или интеграции с HaveIBeenPwned (с проверкой не утек ли конкретный пароль БЕЗ его раскрытия).
                                                          Но… надо менеджер паролей который так умеет, и если пользователь использует одни и те же пароли на работе и дома — это должен быть один и тот же менеджер. Либо нужно это куда то еще интегрировать и опять же — если пользователь использует одни и те же пароли то см выше.
                                                          +1
                                                          Что-то мне кажется мелкомягкие готовят что-то новое в этой области, вот и греют аудиторию
                                                            +1

                                                            Они давно продвигают свой Azure Active Directory с 2FA и поведенческим анализом.

                                                            0
                                                            У меня есть пароли, которые до сих пор подходят к компаниям, в которых я работал надцать лет назад.
                                                            Двух-факторная авторизация. Вы представляете себе сколько раз админ вводит пароль(пароли) в день?
                                                            Отсюда выводы: пароли менять надо, но не параноидально. У обычных бесправных юзерей можно и не менять, но надо чтобы они действительно были бесправные, а не доменными админами из-за того что не ставятся драйвера на принтер. Двух-факторную включать на важных ресурсах, куда не логинишся по 10 раз в день. Ну и т.д.
                                                            Ну и вообще безопасность это не то что один раз настроил и забыл. Это процесс. В любой момент может появиться новенький 0day Ваня Вонакрай.
                                                              0

                                                              Админ вводит свой пароль один раз в день. И дальше везде по ssh со своим ключиком ходит.


                                                              Если он делает не так, то это плохой админ.

                                                                +2

                                                                sudo без пароля? Не уверен, что это хорошая идея

                                                                  0

                                                                  Админ всегда сидит за своим рабочим местом и не покажет его ни на минуту?

                                                                    +1

                                                                    Если админ уходя пописать не блокирует свой комп — такой админ не нужен

                                                                      +1
                                                                      Правила безопасности должны соответствовать ценности данных, которые они защищают. Учетка админа банка может наделать много бед. Учетка админа рекламного агентства не способна дать ничего такого, чего бы не имела учетка рядового менеджера этого же агентства.
                                                                        0

                                                                        Речь о простой ИБ-гигиене, независимо от должности

                                                                          +1
                                                                          Только для 90% организаций речь о кроилове, когда вместо смарт-карты в пропуске задалбывают пользователей ИТ-гигиеной с паролями.
                                                                            0

                                                                            Какое отношение ваша персональная боль имеет к вопросу? Руки с мылом моете?

                                                                              0
                                                                              Если бы только в моём SMB, но даже в крупных компаниях оно встречается довольно редко.

                                                                              Хотя на выходных видел карточки в мобильном пунктe диспансеризации, за что респект DIT'у.
                                                                      0
                                                                      Хорошо, 5 раз. Или даже 10, если курит. В общем столько же сколько средний пользователь.
                                                                  +1
                                                                  Я не понимаю аргумента «Если вы знаете что пароль украден, вы побежите его менять тут же, а не через 42 дня, поэтому его не надо менять раз в 42 дня». Возникает вопрос, а если вы не знаете, что пароль украден? Ах, да, вор все уже украл за эти 42 дня. А если не украл, руки не дошли, базу не купил, был в отпуске? А если ценные для него сведения появятся на 45-й день?
                                                                    0
                                                                    …а если он нашёл в старых файлах/письмах пересланный кому-то/сохранённый (возможно, случайно или из-за уязвимости ПО) пароль? Куча вариантов, на которые они закрывают глаза.
                                                                    +5
                                                                    Когда я приехал в Окридж в следующий раз, все секретарши и вообще
                                                                    все, кто знал меня, просили: «Не ходи здесь! Не ходи здесь!»
                                                                    Оказалось, полковник разослал всем служащим завода записку: «Во время
                                                                    последнего визита мистера Фейнмана видели ли вы его в служебное или
                                                                    неслужебное время в вашем офисе, поблизости от вашего офиса или проходящим
                                                                    через ваш офис?» Кто-то ответил «да», другие ответили «нет». Те, кто
                                                                    ответили «да», получили вторую записку: «Пожалуйста, смените код вашего
                                                                    сейфа».
                                                                    Полковник принял решение: опасность представлял я. И из-за меня все
                                                                    они должны были сменить свои коды. Это целая проблема — менять код и
                                                                    запоминать новый, так что все они сердились на меня и не хотели, чтобы я к
                                                                    ним приближался: может, им придется менять код еще раз. Надо ли говорить,
                                                                    что их бюро по-прежнему оставались открытыми во время работы!

                                                                    столько времени прошло, а история не теряет актуальности
                                                                      +2
                                                                      Смена пароля — это не просто бесполезно, это абсолютное зло с точки зрения безопасности. Ибо раз в жизни выучить что то типа Ks!@j131klq еще хоть как то возможно, а раз в пол года перезапоминать такую дребедень никто не будет гарантированно.
                                                                        0
                                                                        да в общем нет универсального решения.
                                                                        во первых есть разные уровни безопасности и пароль от инсты с тремя фотками шашлыков конечно же не нужно менять с какой-либо периодичностью. а вот пароль от учетки банковского сотрудника, который имеет доступ к вашему счету — лучше менять регулярно (или вы не согласны?).
                                                                        во вторых лень учить пароли может пойти дальше и пароль будет везде один и тот же — и на бесплатной почте и на доступе в клиент-банк.
                                                                        +1
                                                                        1. Поднять цену на Azure MFA в 4 раза (теперь только с платной AAD).
                                                                        2. Обновить политики с настойчивой рекомендацией его использовать.
                                                                        3. PROFIT!
                                                                          0
                                                                          Периодическая смена паролей имеет смысл, если для того, чтобы что-то украсть с компьютера, нужно не только знать пароль, но и незаметно получить физический доступ к нему. В этом случае если злоумышленнику удалось подсмотреть пароль во время его ввода — глазами или скрытой камерой — он может не успеть им воспользоваться до его очередной смены. Проблему запоминания паролей при их частой смене можно решить, если записывать их на бумаге, используя простую систему шифрования — прореживание, перестановки, замену символов + защиту от брутфорса, которая не позволит взломать эту систему перебором.
                                                                            +1
                                                                            Ну вы же, надеюсь, понимаете, что компьютер, где есть что-то ценное, и где злоумышленник смог подсмотреть пароль, и за те несколько месяцев он не успел незаметно туда проникнуть, и от взлома спасло то, что пароль сменили по расписанию, в мире скорее всего не существует, и наверное и не будет существовать? Зато есть сотня миллионов, которые регулярно задалбывают сменой паролей.
                                                                            Проблему запоминания паролей при их частой смене можно решить, если записывать их на бумаге, используя простую систему шифрования — прореживание, перестановки, замену символов + защиту от брутфорса,

                                                                            Вы хотите заменить проблему запоминания паролей проблемой «как объяснить офисному сотруднику, что он, записывая пароль на бумаге, должен использовать прореживание, перестановки и замену символов»? Хм.
                                                                              0
                                                                              Чтобы это работало, нужно менять пароль не раз в несколько месяцев, а хотя бы раз в месяц. И, конечно, это не даёт никаких гарантий, а лишь затрудняет взлом. Что касается задалбывания миллионов — просто нужно использовать каждый инструмент по назначению, и взвешивать преимущества и затруднения, которые приносит его использование.
                                                                              Пароли так или иначе приходится записывать, даже если не менять их часто — всё равно есть время, нужное для уверенного запоминания. Это можно делать по-разному — использовать для их хранения труднодоступные места (сейф, менеджер паролей), прятать, или шифровать — каждый выбирает свой способ. Независимо от того, хранятся ли пароли в электронной или бумажной форме.
                                                                                +1

                                                                                Была в моей жизни история, когда я заставлял клерков менять пароли раз в 6 недель, как требовал MS. В силу молодости, неопытности и максимализма, свойственного возрасту, правила были самые жутчайшие: большие-заглавные буквы, цифры, спецсимволы, нечитаемые и не меньше 10 символов. Ещё и не ленился ходить по кабинетам и отрывать жёлтые бумажки с паролями, наклеенные на монитор. Первое время народ возмущался, раз в 42 дня я выслушивал многократное "фи" от пользователей по этому поводу (им даже просто придумывать их было сложно, не то, что запоминать), а затем вдруг всё прекратилось.


                                                                                Я был счастлив. Даже немножко горд. Мол, смог воспитать народ. А заодно — у меня хорошо защищённые паролями рабочие места.


                                                                                Но через какое-то достаточно продолжительное время на одном из "корпоративов" мне вдруг открылась страшная тайна: мало того, что жёлтые стикеры перекочевали с мониторов на обратную сторону клавиатуры (чтобы я не увидел), так ещё коллеги просто каждый раз передавали эти бумажечки соседу, устраивая круговорот паролей по кабинету. И всё. Именно в этом была причина, что народ перестал жаловаться. В итоге выходило так, что все знали пароли всех. И в случае чего — знали, где их найти.
                                                                                Это произвело на меня сильнейшее впечатление. Я так и не смог выяснить, кто придумал этот "круговорот", но человек был, безусловно, толковый и изобретательный. И подавляющее большинство сотрудников было ему, безусловно, благодарны. Я же был просто потрясён своей наивностью. Та "защищённость", которой я так гордился, разбилась со звоном хрустального бокала, а продвинутость "моих" пользователей оказалась намного круче, чем я мог себе представить )
                                                                                В итоге, в беседах пришли к выводу, что нужно поменять парольную политику. Отныне требование к паролям было одно: они должны быть длинными, больше 20 символов, дабы избегать паролей типа "15-06-1999", а для запоминания нужны не записи на стикерах, а мнемоники (что-то "ВаркалосьХливкиеШорьки"). А через какое-то время отключил в AD и устаревание пароля за 42 дня.

                                                                              0
                                                                              или если защищаемые данные периодически меняются и доступ означает именно доступ к актуальной информации (например доступ к групповому ящику/чату редакции новостного сайта, где утечка позволит конкурентам опубликовать сенсацию раньше).
                                                                              или считывание/модификация охраняемых данных защищена временем (нельзя просмотреть всю базу целиком, а можно например увидеть/изменить 5 строк в день) — тогда периодическая смена пароля спасет большую часть информации от злоумышленника.
                                                                              0

                                                                              В настоящее время не существует систем, которые невозможно взломать. Вся безопасность строится на том, чтобы профит от взлома был меньше средств, которые нужно на этот взлом затратить. И циферка определяющая частоту смены пароля — это один из ключевых параметров в этой системе.

                                                                                0
                                                                                И если у вас есть доказательства того, что пароль украден, вы, очевидно, захотите действовать немедленно, а не ждать истечения срока действия, чтобы устранить проблему

                                                                                Или вы даже не в курсе что его у вас того.
                                                                                  –1
                                                                                  У меня вывод такой: если сервис не позволяет использовать однофакторную аутентификацию, значит этот сервис потенциально дырявый и когда аккаунт уведут с помощью поддельной сим-карты им даже нечего будет предъявить.

                                                                                  Only users with full accounts can post comments. Log in, please.