密码到期政策[关闭]

刚收到供应商的电子邮件，通知我们他们将迫使我们每六个月更改一次密码，我很想知道人们使用什么密码到期政策以及为什么使用它们。

在永不更改和过分更改之间有一条细线。多年使用相同的密码通常不是一个好的解决方案，特别是如果它是公开可用的。但是，过于频繁地执行严格的政策来改变它也有不利的副作用。我曾在一个地方工作，它迫使内部网络上的所有用户每6周更改一次密码，并且密码不能与之前的六个密码相同。三个错误的密码锁定了工作站，IT人员不得不将其解锁。这导致每个人都将密码写在屏幕上或抽屉中的便利贴上。恶梦。

我想每6个月更改一次密码就足够了。这样可以避免那些可怕的便利贴。

我建议您使用一些数学方法来考虑您的最低密码复杂性，攻击者猜测密码的速度，拥有的未锁定帐户的数量以及一些有关风险的信息。

希望您对密码猜测有某种速率限制。通常，这是通过一些错误密码后临时锁定帐户的方式进行的。

希望您有某种密码复杂性要求，以便不允许使用“ A”和“ password”。

假设在10分钟内输入30次密码失败后，您将锁定一个帐户20分钟。这实际上将密码猜测率限制为每小时174或每天4176。但让我们假设它是针对每个用户的。

假设您需要8个以上的字符密码，其中包含大写，小写和一个数字，并且您进行了一些词典检查以确保这些密码是合理随机的。最坏的情况是，您的用户都将一个鞋帮和一个数字放在同一位置，而攻击者知道这一点，因此您有10 * 26 ^ 7（80G）可能的密码。最好的情况是62 ^ 8（218T）。

因此，攻击者尝试使用所有可能的密码在最坏的情况下将在50,000年内将它们全部击中，在最坏的情况下将近6亿千年。或者换句话说，给定的一年，他们将有50,000到1到52,000亿之间的猜测。如果您的用户群为50,000，那么几乎可以保证，在最坏的情况下，他们每年会进入一个帐户，并且每6个月大约有50％的机会获得一个帐户。

如果您没有速率限制，并且攻击者每天可能猜出十亿个密码？一年中有600个机会获得一个帐户的机会，或者实际上可以保证每年从50,000个用户中获得80个。

进行该数学运算，并确定可接受的风险水平在哪里。并且请记住，设置的时间越短，用户越难记住，并且他们越有可能将其写下来，这对于现场攻击者来说很方便。

另外一个好处是：如果有人每天在您的系统上尝试每位用户使用数千个密码，我真的希望您能进行某种监控来加以利用。

编辑： 忘了提：我们的实际政策是90天，但这与误导性安全审核员的发现有关，与现实无关。

在大多数情况下，90天似乎就足够了。我最担心的是密码复杂性。生成便笺的时间框架问题不仅仅是强制性的复杂性。避免字典单词是一回事，而要避免使用特殊字符则是另一回事，但是当您开始说任何字符都不能重复或以升/降序排列时，您将使用户的生活陷入困境。这样做可以缩短密码寿命，并且您在更多问题中也很欢迎。

密码过期很烦人，并且降低了安全性。

密码过期可以抵御攻击者已经破坏了用户密码的情况，但是没有一种机制可以持续查明用户的密码（例如，键盘记录程序）

但是，这也使得记住密码变得更加困难，从而使用户更有可能写下密码。

由于确实不需要防御已经被破坏的密码（您希望如此），因此我认为密码过期没有用。

让用户选择一个强密码作为开始；鼓励他们记住它，然后再不要求他们更改它，否则他们最终将它们写下来。

如果您的设备需要“高到超高”的安全保证，那么最好使用生成一次性密码的硬件令牌，而不要依赖于密码过期。

密码到期系统的主要“优势”是，如果帐户持有人离开组织，您最终将禁用帐户，作为“帐户持有人应禁用帐户的额外”“制衡”树叶”。

强制执行密码到期充其量只能导致写下高质量的密码，而在最坏的情况下会导致输入错误的密码（在以前的工作场所，一旦我们被迫使用密码到期，我最终使用了（基本上）prefixJan2003，prefixFeb2003等）继续，因为我生成密码的首选方法（48个随机位，以Base64编码）不会扩展为“每月都有新密码”）。

我认为，如果您问10个不同的安全专家这个问题-您会得到10个不同的答案。

这在很大程度上取决于密码保护资产的重要性。

如果您拥有高度安全的资产，则需要设置足够短的密码过期策略，以使任何外部入侵者都没有时间暴力破解密码。在这种情况下，另一个变量是密码要求的复杂程度。

对于中小型安全系统，我认为6个月的过期政策非常合理。

对于高级别的安全性，我认为一个月会更好-对于“超”安全性安装，甚至可以期望更短的时间。

我们对此处的每个人（包括我们自己）强制执行90天的密码有效期。

主要是因为这只是最佳做法。使用“弱”密码的人与强密码的机会更大，而您将其保留的时间越长，则可能会导致长期的，未被发现的安全漏洞。

我们每年都会过期密码，并且需要长度超过10个字符的强密码（最好是随机密码）。当人们更改密码时，我们会对它们进行字典攻击。我们会保留过去的密码哈希值，以使密码无法重复使用。我们还像vatine所说的那样检查密码中的潜在日期。;）最后是我的加法...

在以前的工作中，我们确实按照新网络安全管理员的要求更频繁地到期-每两个月一次。在第一次强制更改之后的两个星期，我带他去了我们的行政办公室，我们看着人们的键盘和鼠标垫。其中超过50％的人将密码写在便签下面。我们坐下并与行政人员交谈后，他很高兴放宽政策，他们的意见是他们没有足够的时间去记忆。

如今，我们大多数工作都是在少数几个仓库中进行单点登录。校园资源（大多数人很少使用）位于一个筒仓中，密码由我们的中央IT部门管理。部门资源（每天使用-机器登录，电子邮件，网站编辑，复印机）是由我们小组管理的密码，并且每年过期。如果人们为沮丧而烦恼，我们指出他们实际上只需要记住一个密码。

这些天来，我在/ var / log中的随机文件上生成了一个md5sum，并将其子集用作密码。

几年前，当我们启动密码过期策略时，我们进行了很多讨论。我们刚刚完成了一次在AD树上用彩虹表进行的盲目运行，以查看它的严重程度，并且非常恐怖。令人眼花after乱的用户在拨入/挂断进行密码重置后仍使用其“帮助台临时”密码，诸如30％的可怕用户使用“密码”或某些变体作为密码（p @ $$ w0rd等） 。这使管理层确信这是必须发生的。

作为高等教育，选择时间间隔时我们要面对夏天。我们的很多老师在暑假都不会教书，所以我们的服务台必须准备好“我忘了密码”电话，因为他们都在9月份回来。我认为而且我可能是错的，我们的时间间隔为6个月，夏季季度例外。因此，如果您的6mo密码到期时间在8月中旬到期，它将被随机地重新编程以在9月下旬至10月初进行重置。

一个更好的问题是实用程序帐户和管理员密码多久轮换一次。那些人似乎常常无须遵守密码更改政策。谁想要遍历所有这些脚本来更改公用事业帐户密码？而且某些备份系统很难更改二手密码，这不利于更改管理员密码。

经常使密码过期的一个主要问题是人们将很难记住它们，因此，您将使人们使用弱密码或类似的密码，或者如果您的策略不允许这样做，他们将开始写下密码以帮助记住它们。 。当人们忘记密码更改请求时，您还会收到更多密码更改请求。

就个人而言，这取决于密码的用途，但是除非密码是完整的一次性帐户，否则我通常不会将密码保留超过3个月。对于高风险的东西，每个月左右都是好的，如果知道它的其他人离开，则可以挑衅地改变它。因为我从事的是小型计算机支持业务，所以我们有很多人可以共享的多个密码，因此我们不希望经常更改它们，因为它可能会造成破坏。

到目前为止有趣的评论。当然，为什么在公司中总是会争论的是，记住密码是公司的技术人员还是非技术人员？某人使用计算机硬件/软件的能力与他们认真对待安全性的能力有什么关系？非技术人员会发出信用卡或借记卡号码吗？同样，将密码放在办公桌上便签纸上的人们也应该被解雇。当人们真正意识到安全性很重要时，人们的记忆将如何改善，这一点令人惊奇，必须予以认真对待。我认为着装规范和行为准则在工作中的作用无异。遵守规则或再见！

我认为拥有一个更安全的密码比经常更改密码更为重要，但是对于一个安全的系统来说，两者绝对是必需的。

有观点认为，复杂的密码难以记住，并导致员工将其写下来。我认为，绝大多数攻击来自外部，即使写下一个复杂的密码并将其敲入您的显示器，也比存储一个简单的密码更安全。

我正在实施基于一次性身份验证和基于时间令牌的身份验证，因此，从理论上讲，每次用户登录时。

尽管可以说这是题外话，但一次性垫纸似乎是一种更好的解决方案。

同样，更基本地讲，确保用户创建强密码并了解您的安全策略背后的道德准则（不要写下来，不要让它成为您的生日，不要将它提供给任何人）将大有作为。远非仅仅强迫他们每n个基于时间的间隔更改一次。