Можно ли использовать ранее использованный пароль

Периодическая смена паролей — устаревшая практика, пришло время от неё отказаться

Во многих IT-системах действует обязательное правило периодической смены паролей. Это, пожалуй, самое ненавистное и самое бесполезное требование систем безопасности. Некоторые пользователи в качестве лайфхака просто меняют цифру в конце.

Такая практика вызывала массу неудобств. Однако людям приходилось терпеть, ведь это ради безопасности. Теперь этот совет совершенно не актуален. В мае 2019 года даже компания Microsoft наконец-то убрала требование периодической смены паролей из базового уровня требований безопасности для персональных и серверных версий Windows 10: вот официальное заявление в блоге со списком изменений к версии Windows 10 v 1903 (обратите внимание на фразу Dropping the password-expiration policies that require periodic password changes). Сами правила и системные политики Windows 10 Version 1903 and Windows Server 2019 Security Baseline внесены в комплект Microsoft Security Compliance Toolkit 1.0.

Можете показать эти документы начальству и сказать: времена изменились. Обязательная смена паролей — архаизм, теперь практически официально. Даже аудит безопасности теперь не будет проверять это требование (если он ориентируется на официальные правила по базовой защите компьютеров под Windows).

Фрагмент списка с базовыми политиками безопасности Windows 10 v1809 и изменения в 1903, где соответствующие политики по времени действия паролей уже не применяются. Кстати, в новой версии по умолчанию также отменяются администраторский и гостевой аккаунты

Microsoft популярно объясняет в блоге, почему отказалась от правила обязательной смены пароля: «Периодическое истечение срока действия пароля является защитой только от вероятности того, что пароль (или хэш) будет украден в течение его срока действия и будет использоваться неавторизованным лицом. Если пароль не украден, нет смысла его менять. И если у вас есть доказательства того, что пароль украден, вы, очевидно, захотите действовать немедленно, а не ждать истечения срока действия, чтобы устранить проблему».

Далее Microsoft объясняет, что в современных условиях неправильно защищаться от кражи паролей таким методом: «Если известно, что пароль, вероятно, будет украден, сколько дней является приемлемым периодом времени, чтобы позволить вору использовать этот украденный пароль? Значение по умолчанию — 42 дня. Разве это не кажется смехотворно долгим временем? Действительно, это очень долго, и всё же наш текущий базовый показатель был установлен на 60 дней — а раньше на 90 дней — потому что форсирование частого истечения вводит свои собственные проблемы. И если пароль не обязательно будет украден, то вы приобретаете эти проблемы без пользы. Кроме того, если ваши пользователи готовы обменять пароль на конфетку, никакая политика истечения срока действия паролей не поможет».

Microsoft пишет, что её базовые политики безопасности предназначены для использования хорошо управляемыми, заботящимися о безопасности предприятиями. Они также призваны служить руководством для аудиторов. Если такая организация внедрила списки запрещённых паролей, многофакторную аутентификацию, обнаружение атак с брутфорсом паролей и обнаружение аномальных попыток входа в систему, требуется ли периодическое истечение срока действия пароля? А если они не внедрили современные средства защиты, то поможет ли им истечение срока действия пароля?

Логика Microsoft на удивление убедительна. У нас два варианта:

  1. Компания внедрила современные меры защиты.
  2. Компания не внедрила современные меры защиты.

В первом случае периодическая смена пароля не даёт дополнительных преимуществ.

Во втором случае периодическая смена пароля бесполезна.

Таким образом, вместо срока действия пароля нужно использовать, в первую очередь, многофакторную аутентификацию. Дополнительные меры защиты перечислены выше: списки запрещённых паролей, обнаружение брутфорса и других аномальных попыток входа в систему.

«Периодическое истечение срока действия пароля является древней и устаревшей мерой защиты, — подводит итог Microsoft, — и мы не считаем, что для нашего уровня базовой защиты стоит применять какое-либо конкретное значение. Удаляя его из нашего базового уровня, организации могут выбирать то, что наилучшим образом соответствует их предполагаемым потребностям, не противореча нашим рекомендациям».

Если компания сегодня заставляет пользователей периодически менять пароли, что может подумать сторонний наблюдатель?

  1. Дано: компания использует архаичный защитный механизм.
  2. Предположение: компания не внедрила современные защитные механизмы.
  3. Вывод: эти пароли проще достать и использовать.

Получается, что периодическая смена паролей делает компанию более привлекательной мишенью для атак.

Источник

Учетная перезапись: уникальные пароли использует меньше трети россиян

Меньше трети россиян (28%) используют уникальные пароли для разных сайтов, следует из результатов опроса Национальной системы платежных карт, которые есть у «Известий». Из-за одинаковых или похожих учетных данных граждане рискуют потерять доступ ко всем аккаунтам разом: после перехвата страницы мошенники могут украсть личную и платёжную информацию или рассылать спам от лица пользователя. Представители крупнейших сервисов электронных почт, социальных сетей и банков сообщили «Известиям», что предъявляют высокие требования к безопасности пароля, но не могут узнать, применялся ли он раньше на других ресурсах.

Трудные и не очень

Большинство россиян (76%) хранят пароли от своих аккаунтов в интернете самым надежным способом ­- запоминают их. Об этом говорится в исследовании «Мир Plat.form» (IT-бренд Национальной системы платежных карт — НСПК), которое есть в распоряжении «Известий». Опрос был проведен ко Дню криптографии, который отмечается 5 мая. В вопросе о способах хранения учетных данных можно было выбрать несколько ответов: почти 40% россиян заявили, что используют автосохранение в телефоне или браузере, 29% записывают данные на бумаге, а 18% — фиксируют их в текстовом формате на телефоне, планшете или компьютере.

В то же время лишь 28% респондентов сообщили, что создают уникальные пароли для каждого ресурса. Столько же опрошенных применяют набор из нескольких комбинаций символов, 17% — ставят одно и то же сочетание для всех ресурсов, а еще 27% — меняют свой подход в зависимости от задачи. Большинство россиян (49%) устанавливают трудные или очень трудные комбинации символов, 44% выбирают среднюю сложность, а оставшиеся 7% — придумывают простые или очень простые конфигурации, отмечается в исследовании.

Читайте также:  Можно ли использовать шпаклевку с истекшим сроком

Фото: РИА Новости/Наталья Селиверстова

Применяя уникальные пароли для разных учетных записей, россияне могут обезопасить себя от компрометации одного из наборов символов, подчеркнул руководитель направления информационной безопасности НСПК Артём Гутник. Он отметил, что самый безопасный метод хранения данных — запоминание последовательности цифр. Чтобы не забывать учетные данные, можно пользоваться специальными программами для их фиксации, однако важно выбирать надежные решения.

— Хранение паролей на бумаге — самый небезопасный вариант, так как к записанной на ней информации проще всего получить доступ третьим лицам. Нередки случаи, когда люди кладут в бумажник с банковскими картами листок с записанными PIN-кодами, чего делать ни в коем случае не нужно, — заявил Артём Гутник.

Применение одинаковых учtтных данных на разных сервисах — плохая практика: большинство взломов аккаунтов является результатом переиспользования паролей, подтвердила эксперт по информационной безопасности в «Одноклассниках» Александра Сватикова. Даже сложное сочетание символов, которое человек применяет на нескольких сайтах, считается ненадежным, убеждены в «Яндексе». В компании подчеркнули: если злоумышленник узнает такую комбинацию, то он попробует зайти с ним и в социальные сети, и в почтовые сервисы, и в онлайн-банки.

Фото: Depositphotos

В «Яндексе» добавили, что отслеживают появление различных баз украденных паролей в интернете и при подозрении, что человек может использовать такие же комбинации символов, заблаговременно направляют его на обязательную смену данных для входа.

Открытые источники

При смене учетных данных «ВКонтакте» система не разрешит использовать сочетание букв, цифр и знаков, которое уже применялось ранее, заявили «Известиям» в пресс-службе сервиса. Там отметили, что дают пользователям рекомендации при установке защиты. Среди них — применение большого числа символов, нестандартных сочетаний слов, номеров, цифр и формул, а также отказ от использования дат рождений, фамилий, номеров машин и кличек домашних животных, поскольку мошенники могут найти эту информацию в открытых источниках.

Представители других почтовых сервисов и соцсетей оперативно не ответили на вопросы «Известий» о безопасных паролях.

Фото: ИЗВЕСТИЯ/Сергей Коньков

Высокие требования к сложности учетных данных помимо интернет-ресурсов предъявляют также кредитные организации. Об этом «Известиям» рассказали в ВТБ, ГПБ, «Открытии», ПСБ, «Райффайзене», РСХБ, ОТП Банке, крымском РНКБ, Росбанке и «Зените». В последних двух подчеркнули, что проверяют историю установки кодов доступа и не позволяют применять ранее использованные сочетания. Кроме того, финансовые организации устанавливают двухфакторную аутентификацию для входа в мобильный и интернет-банк — с помощью кода из SMS.

Банк не хранит пароли клиентов в открытом виде, не имеет доступа к ним и, соответственно, не имеет возможности контролировать использование клиентом таких же учётных данных в других сервисах, подчеркнул директор департамента информационной безопасности «Открытия» Илья Сулоев. Он предупредил, что компрометация сведений на менее защищенных площадках рискует привести к несанкционированному доступу к финансам клиента. О рисках хранения PIN-кода от карты вместе с самим «пластиком» известно в ГПБ: иногда россияне также записывают четырехзначный код на самой карте, или она завернута в кошельке в стикер из ранее полученного PIN-конверта, говорит замначальника департамента защиты информации банка Алексей Плешаков.

Если злоумышленник получил пароль от социальной сети или почты, он может украсть конфиденциальную и платежную информацию пострадавшего, а также рассылать фишинговые письма от лица жертвы или обманом вымогать у знакомых пострадавшего деньги, рассказал консультант центра информационной безопасности компании «Инфосистемы Джет» Владимир Ротанов. Он оценил, что на взлом учетных данных может потребоваться от одного до двух дней.

Фото: РИА Новости/Виталий Аньков

Сейчас существуют целые хакерские группировки, которые специализируются на проверке паролей, содержащихся в свежих утечках из популярных сервисов: в дальнейшем они продают доступ к взломанным учетным записям, рассказал основатель сервиса разведки утечек данных DLBI Ашот Оганесян, добавив, что расшифровка слитых учетных данных потребует от нескольких часов до недель.

В Минкомсвязи оперативно не ответили на запрос «Известий» о требованиях к интернет-ресурсам относительно защищенности паролей.

Источник

Является ли ошибкой использовать пароль, который использовался ранее (кем-либо)?

Несколько месяцев назад, kutschkem ответил на вопрос о HIBP с:

пусть’ы сказать, что каждый человек на земле использовал ~1000 паролей до сих пор. Что составляет примерно 10 триллионов паролей, который составляет ~2<суп>43</суп> если я не ошибаюсь. Выбирая любой существующий пароль в случайном порядке, таким образом, примерно так же хорошо, как по-настоящему случайным образом регистр символов 8-9 символьный пароль. Не очень хорошо. Смотрите этот ответ.

это в основном означает, что, в теории, не только не следует ли повторно использовать пароль, one не должны использовать пароль, который был использован кто-нибудь. Пароли, которые уже использовались ранее в основном одна большая атака по словарю ждет.

Я снова напомнила дискуссия между Майком Ounsworth и Конор Mancone в комментариях ответить на это о черных списках топ-Пароли не против всей базе HIBP.

Это kutschkem’ы верно? Это сделать вывод, верно?

15-го ноября 2019 в 10:23

2019-11-15T22:23:54+00:00

#42149000

Математика может быть прав. Хотя можно доработать и усложнить ее настолько сильно, как хотелось бы, но это вовсе’т действительно добавить к точке. Поэтому я’Лл оставляют его.

Кроме того, на практике это проще и может быть быстрее, чтобы проверить для любой случайный пароль символов фиксированной длины, чем проверить уникальные пароли из списка. Список паролей с 2^43 паролей при средней длине пароля в 8 символов будет составлять около 64 ТБ, если мой расчет верен. Все это будет храниться где-то в непосредственной близости к процессору, будет читать с той же скоростью, что процессор вычисляет хэши.

Читайте также:  Можно ли использовать смайл в логотипе

Однако, заключение не верно. Вопрос не если пароль не используется, но если пароль никогда не был включен в нарушении.

Потому что, если нарушенное пароли были впоследствии обнародованы они уже доступны в интернете. Пароли теперь не только все пароли, которые были использованы, но очень небольшое подмножество его. И чтобы сделать вещи хуже, это подмножество используется в словарях много людей по всему миру, чтобы проверить, если они были использованы. Поэтому шанс, что кто-то проверяет хэш от пароля гораздо выше, чем вероятность его или ее проверка хеш с неизвестным паролем, даже если он был где-то использован.

Так что я бы не использовать пароль, который включен в базу данных HIBP, просто по той причине, что эти пароли имеют более высокий шанс быть включены в словари.

15-го ноября 2019 в 10:23

2019-11-15T22:23:16+00:00

#42148999

Майк Ounsworth здесь (Автор резьбы вы’вновь реферирование)

Это отличный повод сделать некоторые обратно-оф-конверт математике! Фактор, чтобы думать о здесь является то, что, когда вы’вновь добраться до номера, как 2<суп>43</SUP и кафе, вы должны начать с учетом количества жестких дисков, процессоров, и электроэнергии, необходимое для хранения и использования этих данных.

Чтобы сделать математику легко, пусть’ы сказать, что каждый из этих 2<суп>43</суп> пароль хранится в виде хэша SHA-1 (как в случае с HIBP базе). Каждый ша-1 Стоимость-160 битов, или 20 байт. 2<суп>43</суп> * 20 байт = 176 терабайт. Больше, чем мой ноутбук, но мелочь для облачного сервиса.

Пошел в другую сторону, представьте, что у вас есть база данных всех 2<суп>43</суп> пароли открытым текстом. На руки вы получите хэш администратора’ы пароль и вы хотите его силой против вашей базы данных. Позвольте’s принимать простейшие и наиболее небезопасных дел;’ы несоленого хэша SHA-256. В этом и есть проблема, что добыча биткоинов вышки были построены для ребенка! Позвольте’s сделать этот биткоин майнер в качестве приблизительного ориентира: $3000 долларов США, 50-м/с (Тера-хэшей в секунду), и потребляет 1975 Вт.

По моему вы погорячились математике, один из этих блоков будет считать 2^43 / (50,000,000,000,000 / с) = 0.2 s, чтобы попробовать все пароли, при условии, что база данных может кормить 176 ТБ данных, чтобы быстро.

В реальности, пароли (ну, должна быть) хранимые с соленой PBKDF2 или Argon2. Это значительно меняет игру как эти хэш-функции предназначены для того, чтобы предотвратить такого рода атаки. Эти хэш-функции могут быть настроены так медленно, как вы хотите во время хранения пароля в виде хеша. Скажу вам настроить его, чтобы быть ~ 0.1 с каждого хэша. Теперь вдруг вы’вновь смотрит на цифры как-то «тысячи веков и», и «энергопотребление планеты на».

ТЛ;ДР: это отличный вопрос!

Ответ заключается в том, что если вы’ре собирается выбрать пароль, который можно запомнить и может столкнуться с кем-то в интернете, то ваш пароль менее важен, чем сайт, который вы’вновь давая ему хранить его безопасно.

ИМХО, в выборе пароля, вы’повторно не пытается предотвратить выделенного достаточно злоумышленника от растрескивания; вместо этого вы’вновь пытается сделать его достаточно трудно, что они’пойду через более слабую цель. «Я не’т нужно бежать быстрее медведя, мне просто нужно обогнать мой друг и».

Если конечно, если вы используете менеджер паролей с полностью случайной 32-чар пароль, затем вы’вновь, как в криптографической стойкости царство «и возраст Вселенной», и «выходная мощность большой звездой». Так что, что!

16-го ноября 2019 в 11:47

2019-11-16T23:47:21+00:00

#42149001

Я вижу некоторые логические ошибки с этим заявлением — в первую очередь, how бы вы знали it? Если Джо Schmoe используется определенный пароль в 2007 — 2009 для своего ПК с Windows, и она никогда не была взломана, а машина-хлам и сожгли, не было никаких записей не осталось. Поэтому, если пароль взломан или опубликованного каким-либо другим способом, вы не можете знать, и поэтому не может избежать повторное использование.

Кроме того, от приблизительно 2^43 пароли когда-нибудь использовали, наверное, 2^42.9 являются дубликатами, и этот список умещается на одном жестком диске.

15-го ноября 2019 в 10:16

2019-11-15T22:16:36+00:00

#42148998

Смешанного регистра буквенно-цифровой пароль длиной от 1 до 9 (включительно) имеет ключевое пространство 13,759,005,997,841,642, который находится между 2<суп>53</с SUP&GT; и 2<суп>54</суп>.

Математика приличный стадион угадать, но не разумный бэк-оф-салфетка догадываться.

Однако, просто потому, что математика-это неправильно, не означает, что заключение является недействительным.

Люди плохие на пароли. Мы запоминаем их, использовать их, и создавать их легко запомнить слова.

Так, наивный перебор паролей будет генерировать много возможностей, которые люди никогда не запоминал, никогда не использовать повторно, и они’т похож на слова в человеческом языке.

Используя словарь из ранее слил пароли это, наверное, самый быстрый способ подбора паролей, потому что вы знаете, что кто-то, где-то использовал этот пароль раньше. Человека быть человеком, это’s более вероятно, что этот пароль будет использоваться Снова, чем он’ы вероятность того, что любая случайная величина совпадает с паролем.

Из-за этого, my фирма мнение, что это’s ошибку, чтобы использовать пароль, который был’т randomly generated, но я’ll не согласен с твоим мнением, что это’s ошибку, чтобы использовать пароль, чтобы кто-то использовал до того, независимо от того, как он был создан.

18-го ноября 2019 в 5:19

2019-11-18T17:19:46+00:00

#42149004

Что kutschkem, кажется, сказать:

  1. Если около 7⋅10<суп и GT;9 и lt;/SUP-серфинг> люди выбрали 1000 паролей, каждый, было бы около 2<суп>43</суп> пароли в использовании.

Это выглядит как разумное приближение: журнал<суб и GT;2</суб>(1000⋅7⋅10<суп>9</SUP и ГТ;) ≈ 42.7; округлим до 43. (Я не оцениваю вопрос empirical, как много паролей людей выбирают только проверка умножения!)

  1. Есть около 2<суп>43</суп> 8-символьных паролей.
Читайте также:  Можно ли использовать плеер в самолете

Это несколько заниженная оценка: если считать только ASCII США буквенные пароли, в случае различий (‘истинно случайных 8-9 символов с учетом регистра символов пароль’), есть 2⋅26 возможных символов, и журнал<суб и GT;2</суб>[(2⋅26) В<SUP-серфинг и GT;9 и lt;/SUP и ГТ;] ≈ 45.6; ну, округлим до 43.

Но если каждый выбрал 8-символьным равномерно буквенные пароли наугад, как это, по сути, guaranteed, что они’д столкнутся в какой-то момент!

Предположим, что мы выбираем пароли случайным образом из пространства на возможности. Если есть что пароли в мире вероятность столкновения парадокс дней рождения более, что в<SUP-серфинг и GT;2</суп>/на. Когда на и быть не может, те же, что связаны не’т имею в виду ничего, но вероятность очень близка к 1.

Но предположим, что выбрали наш 1000 паролей, каждый независимо и случайным образом от 2<суп>128</с SUP> По возможности-скажем, 10 слов diceware словосочетания с 7776-список слов или 20-значный графического символа строки. Затем он = 2<суп>43</с SUP&GT; и на = 2<суп>128</суп>, поэтому вероятность столкновения между любыми двумя из паролей семи миллиардов людей выбрали в большинстве n2/k = (243)2/2128 = 286-128 = 1/242-менее одного триллиона.

Я рекомендую if вы хотите, чтобы пароль security вы должны позволить компьютеру выбрать пароль для вас случайным образом из более чем 2<суп>128</с SUP> По возможности. (Для сервисов, которые используют несоленые хэши паролей, возможно, удвоить длину, чтобы смягчить несколько целевых атак.)

Вывод-one не должны использовать пароль, который был использован кем-либо ever-кажется, исходит из того, что моя цель в качестве пользователя, чтобы предотвратить любой форме подбора пароля. Может, я как пользователь не’т волнует, если кто-то может угадать мой пароль и он’s более важно, я просто помню его. Можно сделать одноразовые аккаунты все время-вижу, e.гр., Вудменом-для подрыва рекламы-управляемый массового наблюдения, который основывается на идентификации пользователей по логину по более высокой стоимости рекламы.

17-го ноября 2019 в 3:18

2019-11-17T15:18:26+00:00

#42149002

Я думаю, что это будет зависеть от того, как пароли обрабатываются на целевой системе.

Для системы, которая использует лучшие практики соления и хеширования, пароль списки полезны только в перебора. Злоумышленник должен составить хэш-поиска для каждого счета, используя свои специфические соли. Что’ы эффективно перебора пароля файл (или таблица); с криптографически безопасного хэширования, это’ы невозможно на большом пароль пространстве (хэширования каждый пароль принимает нетривиальное количество времени). Злоумышленник может определить приоритетность известные пароли опережает все другие возможности, но это’s по-прежнему большое пространство.

Для системы, которая использует менее передовой практикой, она будет зависеть от конкретной уязвимости в безопасности, как список известных используемых паролей может ускорить атаку.

Так как вы можете’т быть уверены, какие меры принимаются в любой системе, было бы целесообразно, чтобы избежать вероятности известны пароли, но вы не’т должен давать хакер открытую дверь с помощью непонятных пароль, что происходит, были использованы кем-то другим на некоторое время.

18-го ноября 2019 в 4:37

2019-11-18T16:37:13+00:00

#42149003

Я не’т думаю, что любая математика нужны другие, чем теория множеств. Назначение пароля в качестве метода проверки подлинности, вы, кто вы говорите потому что вы знаете секрет. Этот фильм «Секрет» в идеале должно быть случайным, чтобы не допустить перебора. То есть, атаки на платформу учетные данные для. Перебирая в последней инстанции, как это’т эффективная, вы’вновь буквально вслепую, пробуя все возможные перестановки Для что «Секрет&.quot; и тут у вас есть три набора:

  1. Множество всех возможных перестановок.
  2. Подмножество #1, набор всех возможных комбинаций используются всеми, когда-либо, известно или нет.
  3. Подмножество #2, множество всех возможных перестановок, которые, как известно (нарушений).

Число 3-это только полезно употреблять как способ, чтобы обрезать приступ, потому что он’ы перестановка счетчика ниже, чем № 2 и, конечно, меньше, чем #1. Логически, можно предположить, что #2-это’т осуществимо только по тому, что никто не имеет в своей коллекции каждый пароль используется никогда. Однако, важный момент, я думаю, что #2 Не’т быть то, что полезно на нем’s собственное. Идея в том, чтобы урезать свои атаки, чтобы увеличить его’ы эффективности. Если целью является высокой ценностью цели, #2, вероятно, уже слишком велик, чтобы быть полезным для обрезки атаку. Атаки по словарю, используя фактические словарь терминов или же просто распространенные варианты паролей, пригодится во многом потому, что перестановка пространство, что значительно меньше, чем исчерпывающим перебором. #2 увеличивается, что пространство, чтобы быть непрактичным для злоумышленника, так же как и пользователей.

Как ни странно, я’d не спорю, что если #2 на самом деле были выпущены по какому-то волшебству, избегая каких-то перестановок в том, что список может сделать вашу более восприимчивы, как вы’вновь снижение возможности перестановки места, злоумышленник должен покрыть, по той же длина пароля.

Злоумышленник, если #2 был бы очень скорее всего все-таки попробовать и использовать только его в качестве инструмента, чтобы сделать лучше методом перебора, создав словарь с наибольшей частотой пароли из этого набора.

С учетом сказанного, стоит отметить, что все базы данных HIBP-прежнему представляет собой относительно небольшое подмножество всех перестановок. Таким образом, это все еще эффективно использовать все это как атака по словарю. Злоумышленник может еще накладка на высокую частоту, если они’вновь желая больше эффективности, но это не’т быть требование, в отличие от #2.

18-го ноября 2019 в 9:49

2019-11-18T21:49:23+00:00

#42149005

Нет реальных условий, при которых это выгодно уменьшить набор, из которого выбирается пароли. Намеренно устраняя некоторые пароли из рассмотрения просто сжимается злоумышленник’поиск пространства.

Источник