nyttige artikler

Hvor ofte skal jeg ændre mine adgangskoder?

Kære Goldavelez.com,

Mit firma og nogle websteder tvinger mig til regelmæssigt at ændre mine adgangskoder, som hver tredje måned. Hvor ofte skal jeg ændre mine adgangskoder til alle mine andre logins (hvis overhovedet)?

Underskrevet,

Forældede adgangskoder

Kære SP,

Masser af organisationer kræver obligatoriske ændringer af adgangskode, fordi det længe har været betragtet som en "bedste praksis". Der er imidlertid fordele og ulemper ved denne regel, så før du beslutter dig for, om du regelmæssigt skal ændre dine andre adgangskoder, lad os se på de tidspunkter, hvor du ofte giver mening at ændre dit kodeord - og når det ikke gør det.

Hvorfor virksomheder håndhæver politik for varighed af adgangskode

Når du ændrer din adgangskode hvert par måneder, begrænser det, hvor længe en stjålet adgangskode er nyttig for en stealthy angriber - hvor længe han / hun har adgang til din konto. Hvis nogen stjæler din adgangskode, og du ikke ved noget om det, kunne angriberen aflyttes i ubegrænset tid og hente alle mulige oplysninger om dig eller gøre anden skade.

Derfor har mange sikkerhedsretningslinjer i årtier anbefalet hyppige ændringer af adgangskode, normalt mellem 30 og 180 dage. Windows Server har en standard på 42 dage.

I de fleste tilfælde kan disse dog nu være forældede politikker eller henstillinger. I det mindste er det meget diskutabelt, at ændring af adgangskoder ofte faktisk øger sikkerheden.

Hvorfor ændre dine adgangskoder ofte kan være spild af tid

En Microsoft-undersøgelse for et par år siden fandt, at obligatorisk adgangskode ændrer omkostninger milliarder i mistet produktivitet - for meget lidt sikkerhedsudbetaling. Andre computersikkerhedsressourcer (f.eks. Purdue University, Health Informatics og Life som en CIO-blog) påpeger, at den "bedste praksis" ved ofte at ændre adgangskoder gør meget for at forbedre sikkerheden, men meget for at øge alles frustration. Brugere ender typisk med at vælge variationer på de samme enkle adgangskoder (f.eks. Password3) eller ty til klistrede noter, der er tapet til deres bærbare computere. Med andre ord kan i nogle tilfælde faktisk ændre adgangskodekrav faktisk risikere.

Sikkerhedsekspert Bruce Schneier påpeger, at angribere i de fleste tilfælde i dag ikke vil være passive. Hvis de får dit bankkonto-login, venter de ikke i to måneder med at hænge rundt, men overfører pengene med det samme. I tilfælde af private netværk kan en hacker muligvis være mere stealthy og klæbe rundt om aflytning, men han er mindre tilbøjelig til at fortsætte med at bruge din stjålne adgangskode og vil i stedet installere adgang til bagdøren. Regelmæssige adgangskodændringer gør ikke meget for nogen af ​​disse tilfælde. (I begge tilfælde er det naturligvis vigtigt at ændre din adgangskode, så snart sikkerhedsovertrædelsen er fundet og indtrængeren blokeret.)

I dagens skøre hackervenlige system er hyppige ændringer af adgangskode mindre relevante end nogensinde. NIST siger, at adgangskode for udløb af adgangskode er "irrelevante for at mindske revner", fordi ikke kun hackere helt går på vores smarte adgangskodetricks, de har mere avanceret hardware og software:

Generelt er udløbsperioder for adgangskode ikke til meget hjælp til at afbøde revner, fordi de har så lille indflydelse på den indsats, som en angriber skal bruge, sammenlignet med effekten af ​​andre adgangskodepolitiske elementer. Antag, at en organisation reducerede sin adgangskodeudløbsperiode fra 60 dage til 30 dage. En angriber skal simpelthen bruge to gange hardware-ressourcerne for at kompensere for denne ændring.

Hackere har maskiner, der kan ødelægge 348 NTLM-adgangskoder hash pr. Sekund. (NTLM er en adgangskodekrypteringsalgoritme, der bruges i Windows. Ved 348 milliarder NTLM-hascher pr. Sekund, kan enhver adgangskode med 8 tegn bruges på 5, 5 timer.)

Så det er virkelig ikke umagen værd at ændre alle dine adgangskoder hver 30 eller 90 dag og det vil sandsynligvis ikke øge din sikkerhed. Det er en god ting, fordi mange af os hellere vil rengøre toilettet end at ændre vores adgangskoder.

Konti, som du muligvis vil ændre dine adgangskoder regelmæssigt

Som normalt er der undtagelser. For bestemte kontotyper kan hackere være mere tilbøjelige til at "lytte til" og lydløst holde sig rundt i måneder, indtil de henter vigtige oplysninger fra dig. Schneier påpeger, at hvis din børnesøster eller tabloidpressen (hvis du er en berømthed af en eller anden art) har din Facebook-adgangskode, for eksempel, vil de sandsynligvis lytte, indtil du ændrer din adgangskode, hvilket kan være måneder eller år, hvis du aldrig finde ud af det.

Generelt er dette Schneiers råd:

Du behøver ikke regelmæssigt at ændre adgangskoden til din computer eller online finansielle konti (inklusive konti på detailwebsteder); bestemt ikke til konti med lav sikkerhed. Du skal lejlighedsvist ændre dit virksomheds login-adgangskode, og du skal se godt på dine venner, familie og paparazzi, inden du beslutter, hvor ofte du skal ændre din Facebook-adgangskode. Men hvis du bryder op med en, du har delt en computer med, skal du ændre dem alle.

Jeg vil tilføje, at du måske overvejer at regelmæssigt ændre adgangskoder til websteder med kommunikationstype, der ikke har tofaktorautentifikation: E-mail, især og ting som IM eller konferencetjenester. Dette er mere snoop-venlige tjenester, hvor hackere muligvis lytter til i flere måneder, før du finder ud af det. (På den anden side skal du bruge en e-mail-tjeneste med tofaktorautentisering, da det er en guldgruve for hackere, hvis de kan komme ind i det. Det er sandsynligvis den vigtigste konto for dig at sikre sammen med din adgangskodeadministrator og computer konto.) Visse tjenester, inklusive Gmail, Facebook og Dropbox, viser dig aktive sessioner, så du kan som en generel sikkerhedsforanstaltning kontrollere dem for at sikre dig, at ingen andre logger på dine konti.

Frem for alt andet: Beef Up din sikkerhed generelt

Det er meget vigtigere, at du vælger en unik adgangskode til alle konti - en så længe som muligt - og styrker alle dine andre sikkerhedsindstillinger (tofaktorautentisering, gør dine adgangskodegendannelsesspørgsmål unguessable og sikkerhedskopierer alt), fordi i slutt, stærke adgangskoder er ikke nok — uanset hvor ofte du ændrer dem.

Hvis du har svage eller duplikerede adgangskoder overalt, skal du bestemt ændre dem så hurtigt som muligt. Overvej også hvert regelmæssigt sikkerhedsbrud som en påmindelse om at revidere og opdatere ikke kun dine adgangskoder, men din sikkerhedsopsætning generelt - om nødvendigt. Efter alt dette kan du nyde den ro i sindet, at du gør det bedst du kan - og spar dig selv besværet med at ændre alle dine adgangskoder i en tidsplan.

Kærlighed,

Goldavelez.com