90日ごとにパスワードを変更すると、セキュリティがどのように向上しますか？

ユーザーが人間の場合、必ずしもセキュリティが向上するとは限りません。
FTC post "を参照してください" 必須のパスワード変更を再考する時間 "人間が実際にこれらのシステムをどのように使用しているかについての研究に基づく、主任技術者Lorrie Cranorによる（Washington Postの報道 here 。）

また、 SANSセキュリティブログ で説明されているように、「動作の変更に関する重要なガイドラインの1つは、最大のリスクに対処する最小の動作に焦点を当てることです。」パスワードの変更を要求するコストは、強力で一意のパスワードおよび/またはパスワードマネージャー/多要素認証を使用するようにユーザーに教えるために費やされます。さらに、パスワードの変更が阻止するのに役立つ長くて遅い手動の攻撃よりもはるかに迅速に攻撃が発生する可能性があり、多くの場合、攻撃が発生するため、パスワード変更の利点は減少しています。

多くの組織で行われているように、個人的には、オフィスユーザー（または、サイバーセキュリティはもちろん、コンピューターの使用に慣れていない人）にパスワードの有効期限を強制することは、良い形だとは思いません。上記のように、この場合の主なセキュリティ上の欠陥は、同じオフィスのユーザーが単に付箋にパスワードを書いて画面に貼り付けるか、机に貼り付けることです。または、その人がもう少し「上級」の場合、letmeinMONTHYEARなどのパスワードの使用を開始する可能性があります。

それでも、定期的なパスワードの有効期限は、適切なパスワード管理と相まって、良いことです。明らかに、ほとんどの（非賢い）人々は本当に安全なパスワードを覚えることができません-v^i77u*UNoMTYPGAm$のようなもの。では、何をしましょうか。

私は個人的に、マスターパスワード以外のすべてのパスワードを追跡するパスワードマネージャーを使用しています。これにより、処理が非常に簡単になり、より安全になります（マスターパスワード自体が安全であり、簡単に再カウントしてパスワードマネージャーにログインできる場合）。いくつかの商用パスワードマネージャーがあります。あなた自身。私は個人的に Lastpass を使用していますが、これは一般的な使用は無料で安全です。ウェブブラウザから利用でき、スマートフォンやタブレットのアプリとしてインストールすることもできます。サードパーティのソリューションにすべてのパスワードを管理させるというセキュリティ上の懸念については、Steve Gibsonによる調査に依存しています。あなたはそれの完全版を見ることができます ここ 。

適度に強力なパスワードが使用されている場合は使用されません。攻撃者がデータベースからハッシュを抽出できた場合、パスワードが最終的にオフラインで解読される可能性がある場合は、パスワードを定期的に変更する必要があります。ただし、たとえば長いパスフレーズに基づいて強力なパスワードを選択するようユーザーに促す必要がある場合、パスワードの変更を強制することはセキュリティの弱い形のようです。

パスワードのセキュリティに関する知識がなければ、ほとんどのユーザーは強力なパスワードを選択しないため、90日の変更制限はこれらのアカウントを保護するように設計されています。これらのユーザーは自分のアカウントのセキュリティを理解していないか気にしていないため、おそらく古いパスワードに基づいて別の弱いパスワードを選択する可能性があります（つまり、攻撃者は古いパスワードを解読し、そのバリエーションをオンライン攻撃で使用できます）。 。新しいパスワードと古いパスワードの類似性をチェックすることと組み合わせて90日間のポリシーを使用することは、役立つと見なすことができます。他のユーザーのパスワードは解読するのがより難しくなりますが、攻撃者が十分な時間を費やした場合、これは完全に可能です。128ビット未満のエントロピーの強度を持つパスワードは、最終的に解読される可能性があることを意味します。攻撃者は特定のアカウントに特に関心があり、これが発生する可能性は非常に低いです。

パスワードを変更する理由として考えられるのは、ユーザーがパスワードを安全でない場所に保存することが多いためです。たとえば、ブラウザのオートコンプリート機能が友人のコンピュータのパスワードを記憶している場合があります。しかし、これはここにもそこにもありません。

これが、頻繁にそれらを変更することが良い習慣と見なされている理由です。 90日は、最も低い公分母に対応します。パスワードジェネレーターを使用して生成された強力なパスワードを使用するユーザーは、ユーザーがパスワードを変更する手間が最小限になるため、このポリシーで重大な問題が発生することはありません。このポリシーで多くのアカウントを持つユーザーが迷惑になることを理解できます。

多くの場合、パスワードを変更するもう1つの理由は、 bcrypt などのパスワードストレージアルゴリズムや他のキー導出関数に反復回数があり、これを使用して作業係数を増加させることができる ムーアの法則 成立します。新しいパスワードを入力すると、パスワードハッシュがより多くの反復で再保存される機会、またはシステムのセキュリティポスチャが増加するにつれてハッシュアルゴリズム全体が更新される機会が与えられます。たとえば、サイトが元々クリアテキストのパスワードを保存していて、SHA-1に移行し、SHA-1をソルトに移行し、最終的にbcryptした場合、パスワードを変更する行為は、このユーザーの保存された形式を更新する機会としてよく使用されます。データベース内。

パスワードの変更は技術的に必要ではないことに注意してください。多くのシステムはこの時点でパスワードをストレージに再書き込みしますが、クリアテキストのパスワードもこの時点で使用できるため、ログインが成功したときにこれを行うこともできます。パスワードの変更を強制することは、これらの場合に役立ちます。また、サイトで発見されていないパスワード漏洩の脆弱性（SQLインジェクションなど）があった場合、パスワードはより安全なものに変更され、ハッシュ形式も変更されます。更新しました。パスワードの変更を強制しても、非アクティブなアカウントの更新には役立たないことに注意してください。これは、一部の標準では、非アクティブなアカウントが一定期間（たとえば、90日後にPCI）後に無効になるように定めている理由です-パスワードも何らかの形式でDBに保存されている場合また、ユーザーが他の場所で再利用し、後でリークされた場合に備えて、これをブランクにすることもお勧めします。

私はこれが主にコンプライアンス主導の要件であり、せいぜいセキュリティの純増がわずかであることに同意する傾向があります（残念ながら、そうでなければ正当なユーザーが90日後にロックアウトされるため、運用可用性の損失にかなりのコストがかかります）。 -パスワードが期限切れで誰も更新していないためにマシンとマシンの通信が失敗した、ヘルプデスクに連絡してパスワードのリセットの問題を解決した、など。

そうは言っても、そのようなポリシーを適用する正当な理由があります（ただし、これらの正当化は特定のパスワードの比較的長い有効期間によって大幅に軽減されます...結局、サイバー詐欺師が90日間パスワードを取得した場合、彼または彼女が行うことができる多くの損傷があります）。

最大の利点は、次のシナリオにあります。

1. ハッキングまたは他の方法で侵害され、サイバー詐欺師がユーザー名とパスワードを見つけます。

2. それはたまたま、「しきい値の変更」期間の近くです（通常、四半期の終わりです。サイバー詐欺師はそれを知らないとは思わないでしょう）。

3. 「古い」パスワードを変更する必要があります（あなたとサイバー詐欺師の両方が知っています）。

4. 会社のポリシーに従い、パスワードを変更します。つまり、サイバー詐欺師は再びロックアウトされます。彼または彼女は、以前と同じ方法を使用して、この資格情報への不正アクセスを試みることもできますが、そうすることは煩わしく時間がかかる可能性があります。

ここでの要点は、「自分のパスワードを新しいものに変更する」ことは、サイバー犯罪者が通常行うことではないということです。なぜなら、彼または彼女の観点から（もちろん、パスワードHijackが本当に一種の拒否である場合を除きます）サービスの攻撃）、パスワードを変更し、正当な（元の）所有者をアカウントからロックアウトすると、正当なユーザーに何か不都合なことが起こっていることをすぐに警告します。

これは、サイバー犯罪者が通常一度に何千ものパスワードをハイジャックするという事実の上にあります。これらすべてを変更することは、特に正当なユーザーがこれを実行できるように設定されたバックエンドシステムにアクセスできない場合があるため、面倒な作業になる可能性があります。

上記のいずれも、サイバー詐欺師が通常自分の特権アカウントをセットアップするという事実、彼らがシステムに不正アクセスする瞬間、または「強制的な90日間の他の潜在的な弱点を無視することを意図している」を無視して書かれていません「パスワード変更」のパラダイムは、今日非常に普及しています。このルールを階層化された防御戦略の1つの（マイナー）要素と考えると、場所があることがわかります。