Com que frequência você altera sua senha de administrador / root?

12

Tenho o mau hábito de raramente alterar a senha de administrador no meu domínio. As senhas que uso são muito boas, mas quero ser mais consistente com isso.

O que você acha que é uma boa frequência? A cada 6 meses, talvez?

password 
user24555
fonte
90 dias é uma boa prática geral para alterar senhas.
Warner
No unix, você pode usar uma ferramenta como o sudo, o que significa que certos usuários podem receber privilégios de root por um curto período de tempo. Eles não precisam saber a senha root. Na verdade, você pode se safar por não ter um conjunto ou nunca saber disso. Nesse caso, você não precisa alterá-lo. Os usuários precisarão alterar suas próprias senhas.
Matt
Oh Deus, depois de ler todas essas postagens, sei que às vezes tenho um domínio em que trabalho (dos quais não sou administrador de sistemas, mas tenho uma conta de administrador) em que a administratorsenha é a mesma há 7 anos, e tem apenas 8 caracteres. Talvez eu envie um e-mail para eles ...
Mark Henderson

Respostas:

9

Vamos fazer um cálculo rápido (e esquecer as práticas recomendadas por um momento):

Suponha um prazo de seis meses para um invasor invadir seu sistema. Vamos supor também que as senhas são escolhidas aleatoriamente em um conjunto de caracteres de tamanho 62.

Cenário 1: Você usa uma senha de 9 caracteres pelos seis meses inteiros.

Cenário 2: você usa uma senha de 9 caracteres nos primeiros três meses e uma senha de 9 caracteres diferente para os três meses restantes.

Cenário 3: Você usa uma senha de 10 caracteres pelos seis meses inteiros.

No cenário 1 , um invasor de força bruta corrompe sua conta com 100% de certeza, se ele puder fazer 62 ^ 9 tentativas nesse período.

No cenário 2 , se ele puder fazer apenas (62 ^ 9) / 2 tentativas na metade do tempo (três meses), ele invadirá a conta com 50% de certeza. No segundo tempo, ele terá outra chance com 50% de certeza. Estatisticamente, ele invadirá a conta com 75% de certeza.

Dentro cenário 3 , ele terá 62 ^ 9 tentativas pelos seis meses inteiros. Mas existem 62 ^ 10 possibilidades. Então, ele invadirá a conta apenas com 1/62 de certeza, isso é cerca de 1,6%.

Portanto, se deixarmos de fora todos os outros fatores (como senhas roubadas e outros tipos de ataques), a recomendação seria escolher senhas mais longas do que usar senhas mais curtas (ou mais simples), mesmo que sejam alteradas com mais frequência. Especialmente, porque no Cenário 3 , existem apenas 10 caracteres para lembrar, enquanto no Cenário 2 são 18 caracteres.

Chris Lercher
fonte
2
+1, use senhas muito longas. Ninguém vai decifrar uma senha de mais de 18 caracteres em 6 meses. Se eles realmente querem tanto seus dados, eles simplesmente roubam o servidor.
Chris S
Amo isso, bem colocado. Com senhas ... o tamanho é importante.
Kara Marfia
Portanto, uma boa senha longa deve funcionar bem por um bom tempo. Acho que vou usar uma boa senha e fazer um ciclo de 12 meses. Isso me dará uma boa oportunidade para documentar tudo o que vai quebrar (infelizmente). Edit: Por bem, quero dizer 16 + caracteres. Eu gosto de usar frases que incluem pontuação, espaços e tudo.
user24555
Eu sempre rio quando alguém fala sobre forçar brutalmente uma senha. Isso não vai acontecer. Período. Somente a NSA (ou equivalente) ou o crime organizado podem fazer isso; nesse caso, você tem problemas muito maiores que não podem ser resolvidos com uma boa senha.
Dan Andreatta
Adicionando ao comentário anterior, fiz uma matemática rápida e levaria cerca de 1 dia para quebrar uma senha de 6 caracteres com uma área de trabalho moderna, o que leva 10 anos a uma senha de 8 caracteres. O desempenho da criptografia se for do teste de velocidade openssl.
Dan Andreatta
2

Somos principalmente janelas, e cada um dos administradores tem sua própria conta de administrador de domínio, e confiamos um no outro para ter senhas fortes e para alterá-las de vez em quando. Tenho certeza de que todos têm senhas fortes porque usamos a pressão dos colegas para garantir que sejam longas e tenham números e / ou caracteres, mas não as alteramos com frequência suficiente. \

ADICIONADO: Até agora, a maioria das pessoas provavelmente já ouviu isso, mas por precaução. Bruce Schneier, especialista em criptografia e segurança, diz que você deve ter senhas fortes e anotá-las.

Ala - Restabelecer Monica
fonte
Como essa pressão dos colegas funciona? As pessoas podem ver as senhas uma da outra?
Bill Weiss
2
Pela minha experiência, nenhum usuário pode ser confiável para alterar sua senha por conta própria, mesmo a equipe de TI.
ITGuy24
@ Bill: somos apenas três de nós e trabalhamos juntos há muito tempo, então a pressão dos colegas é semelhante à de "Eu não vi você digitar nenhum número naquele momento ..."
Ward - Reinstate Monica
Isso não aumenta muito bem :) Além disso, adquirir o hábito de assistir as pessoas digitarem suas senhas de administrador não funcionará bem se você for a outros sites com muita frequência.
Bill Weiss
Que tal ter algo como um "pote de palavrões"? Se outro administrador conseguir quebrar sua senha (usando algo como ophcrack), você deverá colocar $ 5 no pote.
Nic
1

Embora teoricamente seja muito melhor alterar senhas com frequência, o fator "vamos escrever isso em um post-it" aumenta exponencialmente à medida que o período de validade fica mais curto.

Se for apenas para uso privado, por que não usar autenticação de chave pública e ter apenas um bom PW para o seu chaveiro?

Alexander T
fonte
1
Esta pergunta tem várias idéias para gerenciar senhas: serverfault.com/questions/21374/…
Ward - Reinstate Monica
1

Você está falando da conta de administrador do domínio (SID: S-1-5-21domain-500) ou da conta de administrador que você criou para poder obter registros úteis sobre quem faz o quê?

Geralmente, configurarei a conta do Administrador para ter uma senha longa (com mais de 20 caracteres) e a armazenarei em um local seguro e nunca a usaremos. Geralmente, apenas altero essa senha todos os anos, aproximadamente. Nossa rede também possui sistemas de bloqueio, o que deve impedir que qualquer ataque remoto de força bruta seja muito eficaz. Como nunca uso a senha para tarefas do dia-a-dia, a probabilidade de interceptação é quase inexistente.

Se você está falando da minha conta pessoal à qual concedi privilégios de administrador, costumo alterá-la a cada 6 meses. Também costumo usar autenticação baseada em chave sempre que possível, para que minha senha raramente seja transmitida para qualquer lugar. Eu também geralmente não trabalho com o que acho que a maioria das pessoas consideraria sistemas de alto risco.

Zoredache
fonte
Eu estou falando sobre o administrador do domínio. Minha própria conta não faz parte do grupo de administradores do domínio. Eu acho que seria uma boa prática parar de usar o administrador de domínio original e criar um administrador de domínio secundário com um nome de usuário diferente.
user24555 26/03/10
0

Não importa a complexidade das senhas que você esteja configurando. É sempre uma boa prática alterar sua senha a cada 30 a 42 dias. 6 meses é uma senha muito antiga. Sempre deve haver uma boa política de senha implementada para permanecer seguro :-)

Vivek Kumbhar
fonte
4
Onde você cria "30 a 42 dias"?
Bill Weiss
É uma prática recomendada de segurança que as senhas expirem a cada 30 a 90 dias, dependendo do seu ambiente. Dessa forma, um invasor tem um tempo limitado para quebrar a senha de um usuário e ter acesso aos recursos da sua rede. Padrão: 42. Não são minhas palavras, tirando-as de "Best Practices"
Vivek Kumbhar
1
Que tal nos fornecer um link para um documento ou referência onde isso é afirmado, em vez de apenas repetir que é uma 'melhor prática'. Geralmente me recuso a considerar algo como uma prática recomendada, a menos que seja publicado em uma fonte confiável.
precisa
1
Vivek Kumbhar
A ferramenta de pesquisa do meu navegador deve estar quebrada. Não vejo um "42" lá.
Bill Weiss
-1

Normalmente, redefino senhas de root apenas depois que um membro da equipe sai ... mas incentivo os usuários com acesso ao sudo a mudarem de senha a cada 90 dias.

Philip
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.