Seberapa sering Anda mengubah kata sandi administrator / root?

12

Saya memiliki kebiasaan buruk yang jarang mengubah kata sandi administrator di domain saya. Kata sandi yang saya gunakan cukup bagus tetapi saya ingin lebih konsisten dalam hal ini.

Menurut Anda apa frekuensi yang baik? Mungkin setiap 6 bulan?

password pengguna24555
sumber
90-hari adalah praktik terbaik umum yang baik untuk mengubah kata sandi.
Warner
Di bawah unix Anda dapat menggunakan alat seperti sudo yang berarti pengguna tertentu dapat diberikan root priveledges untuk waktu yang singkat. Mereka tidak perlu tahu kata sandi root. Bahkan, Anda bisa lolos dengan tidak memiliki satu set atau pernah mengetahuinya. Dalam hal ini Anda tidak perlu mengubahnya. Pengguna perlu mengubah kata sandi mereka sendiri.
Matt
Ya Tuhan, setelah membaca semua posting ini, saya tahu pasti ada satu domain tempat saya bekerja kadang-kadang (di mana saya bukan sysadmin, tetapi punya akun admin) di mana administratorkata sandinya sama selama 7 tahun, dan hanya 8 karakter. Mungkin saya akan mengirim mereka email ...
Mark Henderson

Jawaban:

9

Mari kita lakukan perhitungan cepat (dan lupakan praktik terbaik sejenak):

Asumsikan jangka waktu enam bulan bagi penyerang untuk meretas sistem Anda. Mari kita asumsikan juga, bahwa kata sandi dipilih secara acak dari serangkaian karakter ukuran 62.

Skenario 1: Anda menggunakan kata sandi 9 karakter selama enam bulan penuh.

Skenario 2: Anda menggunakan kata sandi 9 karakter untuk tiga bulan pertama, dan kata sandi 9 karakter yang berbeda untuk tiga bulan yang tersisa.

Skenario 3: Anda menggunakan kata sandi 10 karakter selama enam bulan penuh.

Di Skenario 1 , penyerang kasar meretas akun Anda dengan kepastian 100%, jika ia dapat melakukan upaya 62 ^ 9 pada waktu itu.

Di Skenario 2 , jika ia hanya dapat melakukan (62 ^ 9) / 2 upaya dalam separuh waktu (tiga bulan), ia akan meretas akun dengan kepastian 50%. Di babak kedua, dia akan mendapatkan peluang lain dengan kepastian 50%. Jadi secara statistik, dia akan meretas akun dengan kepastian 75%.

Dalam Skenario 3 , ia akan melakukan 62 ^ 9 upaya selama enam bulan penuh. Tetapi ada 62 ^ 10 kemungkinan. Jadi dia akan meretas akun hanya dengan 1/62 kepastian, itu sekitar 1,6%.

Jadi, jika kita mengabaikan semua faktor lain (seperti kata sandi yang dicuri dan jenis serangan lainnya), rekomendasinya adalah lebih memilih kata sandi yang lebih panjang daripada menggunakan kata sandi yang lebih pendek (atau lebih sederhana), bahkan jika mereka lebih sering diubah. Terutama, karena dalam Skenario 3 , hanya ada 10 karakter untuk diingat, sedangkan dalam Skenario 2 , itu 18 karakter.

Chris Lercher
sumber
2
+1, Gunakan kata sandi yang sangat panjang. Tidak ada yang benar-benar akan memecahkan kata sandi 18+ karakter dalam 6 bulan. Jika mereka benar-benar menginginkan data Anda seburuk itu, mereka baru saja masuk dan mencuri server.
Chris S
Cintai ini, baiklah. Dengan kata sandi ... masalah ukuran.
Kara Marfia
Jadi kata sandi yang panjang dan bagus harus dilakukan dengan baik untuk waktu yang cukup lama. Saya pikir saya hanya akan menggunakan kata sandi yang baik dan melakukan siklus 12 bulan. Ini akan memberi saya peluang bagus untuk mendokumentasikan segala sesuatu yang akan rusak (sayangnya). Sunting: Maksud saya 16+ karakter. Saya suka menggunakan kalimat yang menyertakan tanda baca dan spasi dan semua.
user24555
Saya selalu terkikik ketika seseorang berbicara tentang kata sandi yang kasar. Itu tidak akan terjadi. Titik. Hanya NSA (atau yang setara) atau kejahatan terorganisir yang dapat melakukannya, dalam hal ini Anda memiliki masalah yang jauh lebih besar yang tidak dapat diselesaikan dengan kata sandi yang baik.
Dan Andreatta
Menambahkan ke komentar sebelumnya, saya melakukan perhitungan cepat, dan itu akan memakan waktu sekitar 1 hari untuk memecahkan 6 kata sandi char dengan desktop modern, yang mengarah ke 10 tahun untuk 8 kata sandi char. Kinerja untuk enkripsi jika dari tes kecepatan openssl.
Dan Andreatta
2

Kami sebagian besar adalah windows, dan masing-masing admin memiliki akun admin domain masing-masing, dan kami hanya mempercayai satu sama lain untuk memiliki kata sandi yang kuat dan mengubahnya setiap saat. Saya yakin semua orang memiliki kata sandi yang kuat karena kami menggunakan tekanan rekan untuk memastikan mereka panjang dan memiliki angka dan / atau karakter di dalamnya, tetapi kami tidak cukup sering mengubahnya. \

TAMBAH: Pada saat ini, kebanyakan orang mungkin telah mendengar ini, tetapi untuk berjaga-jaga. Ahli enkripsi dan keamanan Bruce Schneier mengatakan Anda harus memiliki kata sandi yang kuat dan menuliskannya.

Ward - Reinstate Monica
sumber
Bagaimana tekanan teman sebaya itu bekerja? Bisakah orang melihat kata sandi satu sama lain?
Bill Weiss
2
Dari pengalaman saya, tidak ada pengguna yang dapat dipercaya untuk mengubah kata sandi mereka sendiri, bahkan staf TI.
ITGuy24
@ Bill: hanya ada 3 dari kita, dan kita telah bekerja bersama sejak lama, jadi tekanan teman sebaya ada di sepanjang baris "Saya tidak melihat Anda mengetik angka apa pun saat itu ..."
Ward - Reinstate Monica
Itu tidak skala dengan sangat baik :) Juga, biasakan menonton orang mengetik kata sandi admin mereka tidak akan berjalan baik jika Anda pergi ke situs lain sangat sering.
Bill Weiss
Bagaimana dengan memiliki sesuatu seperti "tabung sumpah"? Jika admin lain dapat berhasil memecahkan kata sandi Anda (menggunakan sesuatu seperti ophcrack), Anda harus memasukkan $ 5 ke dalam pot.
Nic
1

Walaupun secara teori akan jauh lebih baik untuk mengubah kata sandi sesering mungkin, faktor mari-tulis-yang-turun-di-pos-itu-meningkat secara eksponensial karena periode validitas semakin pendek.

Jika ini hanya untuk penggunaan pribadi, mengapa tidak menggunakan otentikasi kunci publik dan dapatkan PW yang bagus untuk keyring Anda?

Alexander T
sumber
1
Pertanyaan ini memiliki banyak ide untuk mengelola kata sandi: serverfault.com/questions/21374/…
Ward - Reinstate Monica
1

Apakah Anda benar-benar berbicara tentang akun Administrator untuk domain (SID: S-1-5-21domain-500), atau apakah Anda berbicara tentang akun administrator yang Anda buat untuk diri sendiri sehingga Anda bisa mendapatkan log yang berguna tentang siapa yang melakukan apa?

Saya biasanya akan mengatur akun Administrator untuk memiliki kata sandi yang panjang (20+ karakter) dan menyimpan kata sandi di lokasi yang aman dan tidak pernah menggunakan akun itu. Saya biasanya hanya mengubah kata sandi itu setiap tahun atau lebih. Jaringan kami juga memiliki sistem penguncian dan semacamnya yang seharusnya mencegah serangan brute force jarak jauh menjadi sangat efektif. Karena saya tidak pernah menggunakan kata sandi untuk tugas sehari-hari, kemungkinan tudingan yang dicegatnya hampir tidak ada.

Jika Anda berbicara tentang akun pribadi saya yang saya berikan hak admin untuk saya cenderung mengubahnya setiap 6 bulan. Saya juga cenderung menggunakan otentikasi berbasis kunci bila memungkinkan sehingga kata sandi saya sangat jarang ditransmisikan di mana saja. Saya juga umumnya tidak bekerja dengan apa yang saya pikir kebanyakan orang akan anggap sebagai sistem berisiko tinggi.

Sakit kepala
sumber
Saya sedang berbicara tentang admin domain. Akun saya sendiri bukan bagian dari grup admin domain. Saya pikir itu akan menjadi praktik yang baik untuk berhenti menggunakan admin domain asli dan membuat admin domain sekunder dengan nama pengguna yang berbeda.
user24555
0

Tidak masalah seberapa rumit kata sandi yang Anda tetapkan. Itu selalu merupakan praktik yang baik untuk mengubah kata sandi Anda setiap 30 hingga 42 hari. 6 bulan adalah kata sandi yang terlalu tua. Harus selalu ada kebijakan kata sandi yang baik diimplementasikan untuk tetap aman dan terlindungi :-)

Vivek Kumbhar
sumber
4
Di mana Anda datang dengan "30 hingga 42 hari"?
Bill Weiss
Ini adalah praktik terbaik keamanan agar kata sandi kedaluwarsa setiap 30 hingga 90 hari, tergantung pada lingkungan Anda. Dengan cara ini, penyerang memiliki waktu terbatas untuk memecahkan kata sandi pengguna dan memiliki akses ke sumber daya jaringan Anda. Default: 42. Bukan kata-kata saya, mengambilnya dari "Praktik Terbaik"
Vivek Kumbhar
1
Bagaimana kalau memberi kami tautan ke dokumen atau referensi tempat ini dinyatakan alih-alih hanya mengulangi bahwa itu adalah 'praktik terbaik'. Saya umumnya menolak untuk menganggap sesuatu sebagai praktik terbaik kecuali jika dipublikasikan dalam sumber yang dapat dipercaya.
Zoredache
1
yakin .. senang Anda bertanya technet.microsoft.com/en-us/library/cc784090(WS.10).aspx
Vivek Kumbhar
Alat pencarian browser saya harus rusak. Saya tidak melihat "42" di sana.
Bill Weiss
-1

Saya biasanya hanya mereset kata sandi root setelah anggota staf pergi ... tetapi mendorong pengguna dengan akses sudo untuk mengubah kata sandi mereka setiap 90 hari.

Philip
sumber