freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

“安全运营”的实践之道,到底要不要改密码?
2021-05-17 17:20:44
所属地 广东省

有人提出,安全运营就是将安全工作标准化,体系化,日常化,同时也提出运营工作人员需要转变观念,不被安全运维的理念所束缚;也有人提出安全运营,是对企业网络安全系统的运营甚至是业务系统的运营。

甚至认为最大的问题恰恰是运营过程的不安全,运营者常常会犯“艺高人胆大”的错误,不守规矩的也是这些人。比如简单的定期口令更改策略的执行,如果普通域用户三个月一改,他会怎么改?

域管理员会怎么改?好记与复杂肯定矛盾,往往会选择好记。管理员面对那么多服务器,网络设备,安全设备,口令怎么设,怎么管?人的弱点就会显露。安全运营本应有助于网络安全文化的建立,有助于安全系统与用户交互的有效高效,但实际上此愿望是路慢慢,其修远兮。(致谢潇然兄,网空闲话兄)本文就想针对密码要不要改这个话题展开一下。

相信到目前为止,大部分企业所采用的一个最佳IT实践必定是定期修改密码,不管是哪篇文章,哪本书籍,不管是CISSP还是CISP,强制要求用户修改密码是必然存在的一个准则。而每次攻防演练中,用户弱密码或者缺省密码往往成为了攻击的最优解。

由弱口令导致的攻击事件实令人心惊胆战,弱密码,空密码,缺省密码以及明文密码等逐一被挖掘出来,涉及不乏有企业重要业务系统和核心基础设施的账号安全问题。为了解决这种问题,有些企业重手下要求,强制员工使用12位甚至16位以上的密码,甚至每个月更新一次密码,且还设定密码策略,必须符合大小写,数字,特殊符号齐全的强密码策略,必须不得为在过去5次使用过的密码或者类似密码。

而承接“到底要不要复杂密码“一文,文中提到,只要密码验证框架完善,其实并不需要附加密码复杂性要求,从而方便用户记忆。

1621243023_60a2348fa2de86341609c.png!small

WTF?是不是有点诧异?最终的结论是,只要锄头挥得好(基础做得好),密码只要足够长就好了,不需要足够复杂,难道我们以前错了?好吧,这个问题先暂时搁置,我们来看看另外一个相关话题,那么密码到底要不要定时修改?

好像长期以来,如上所说,我们被要求定期修改密码已经成为了一个基础认知了,但事情好像却有了变化,定期修改密码真的是有效且有意义的吗?

总所周知,人的记忆是有限的,而当需要记忆的东西太多的时候,人就会变得“聪明“,他们通常会以之前的密码为基础而设置一个新的密码?例如,用户可以在之前的密码的末尾附加一个数字,然后在每次需要密码时递增或递减该数字。

类似地,如果需要每月都更改一个密码,用户可能会将月份名称合并到密码中,然后再每次需要更改密码时更改月份,比如P@ssMayword1,P@ssJuneword2。但是,研究已经证明,如果你知道一个用户以前的密码,就很有可能猜到他现在的密码。

“Time to rethink mandatory password changes“表示研究人员进行了一项实验,他们使用一个密码子集来训练他们的破解算法,使其应用最有可能的密码转换,然后用它来破解剩下的密码。这篇论文包含了很多关于他们所做的技术细节,但最终的结果是惊人的。

北卡罗来纳大学的研究人员发现,在他们研究的账户中,有17%的账户知道用户之前的密码后,他们可以用不到5次的时间猜测下一个密码。一个知道以前的密码并能够访问哈希密码文件的攻击者,并且可以进行离线攻击,可以在3秒内猜出41%的账户的当前密码。这些结果表明,在强制修改密码后,那些以前已经知道用户密码的攻击者可以相当容易地猜到用户的新密码。

好像有点两难了,要求用户定期更改密码会导致问题,不要求用户更改密码也会导致问题,那到底要不要改?要知道攻击者通过揣摩用户密码潜入企业内网的危害要远大过于所谓的0Day攻击漏洞。0Day再厉害也就那么一次,但是如果攻击者揣摩到了用户的密码规律,从而进入企业内网的话,那带来的危害可就不是一次两次的了。

另外一个被归咎于密码更改要求的常见问题是,被迫频繁更改密码的用户更有可能忘记自己的密码,这将导致账户锁定的情况增多,而被动增加使用自助重置密码的可能性。

微软已经决定从1903的版本开始放弃启用“密码过期策略“了,详情可参考下文链接。

1621243067_60a234bbd35605df60f49.png!small

那么不如直接放弃定期更改密码好了?放弃定期更改密码是可行的,但是要跟前文一样,有个基础,即密码验证框架需要足够完善,只要满足了这个基础,不要求定期更改密码是完全可行的做法。具体要求,请参考前文 -- 到底要不要复杂密码?

那么什么时候需要更改密码?当你察觉你的密码有可能泄露的情况下,你需要更改密码,且还需要更改你的密码制定规则;当你发现你之前有尝试共享你的密码给到其他人的情况下,你需要更改密码;当你发现你被人偷窥密码的情况下,你需要更改密码;如果你某天发现你之前中过钓鱼邮件并曾经有可能泄露过密码,你需要更改密码。

总结:

研究表明,频繁地强制用户更改密码会给用户带来不便,但却无法带来更高的安全性,甚至导致一些用户的行为更不安全。鼓励用户使用一个长期的强密码可能会更安全,当然最好的依然还是结合多因素认证实现密码保护,而不是强制性的要求使用超强超复杂且还需要定期修改的密码。

参考:

  1. Time to rethink mandatory password changes | Federal Trade Commission (ftc.gov)
  2. Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903 | Microsoft Docs
# 系统安全 # 密码安全 # 运营管理
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者