Minimální interval mezi změnami hesla

Minimální interval mezi změnami hesla
« kdy: 27. 03. 2019, 12:13:03 »
Článek Nekomplikujte lidem přihlášení, jinak začnou být kreativní, říká Jim Fenton mi připomněl jednu otázku týkající se politiky hesel. Někde je součástí politiky hesel pravidlo, které stanovuje minimální interval mezi změnami hesla – např. pokud si heslo změníte, další změnu můžete udělat až za 30 minut (těch 30 minut je v naší vyhlášce o kybernetické bezpečnosti).
Chápete někdo, jaký to má bezpečnostní účel? Jaký je vektor útoku, kterému to má bránit? Chápal bych to ještě jako obranu, aby si uživatel nemohl heslo změnit „na oko“ a vzápětí vrátit na původní, ale to řeší historie hesel (např. ta vyhláška NÚKIBu vyžaduje pamatovat si historii 12 hesel). Jaký je vektor útoku založený na tom, že si uživatel změní heslo a vzápětí si ho změní ještě na jiné, nebo že to samé udělá útočník?


Re:Minimální interval mezi změnami hesla
« Odpověď #1 kdy: 27. 03. 2019, 13:12:33 »
Článek Nekomplikujte lidem přihlášení, jinak začnou být kreativní, říká Jim Fenton mi připomněl jednu otázku týkající se politiky hesel. Někde je součástí politiky hesel pravidlo, které stanovuje minimální interval mezi změnami hesla – např. pokud si heslo změníte, další změnu můžete udělat až za 30 minut (těch 30 minut je v naší vyhlášce o kybernetické bezpečnosti).
Chápete někdo, jaký to má bezpečnostní účel? Jaký je vektor útoku, kterému to má bránit? Chápal bych to ještě jako obranu, aby si uživatel nemohl heslo změnit „na oko“ a vzápětí vrátit na původní, ale to řeší historie hesel (např. ta vyhláška NÚKIBu vyžaduje pamatovat si historii 12 hesel). Jaký je vektor útoku založený na tom, že si uživatel změní heslo a vzápětí si ho změní ještě na jiné, nebo že to samé udělá útočník?

Podle me jde jen o to, aby si ho nemohl zmenit na to puvodni.
Nekde jde zmena hesla naskriptovat a potom by bylo jednoduche spustit tu zmenu ve smycce 12x.

Re:Minimální interval mezi změnami hesla
« Odpověď #2 kdy: 27. 03. 2019, 14:57:32 »
Podle me jde jen o to, aby si ho nemohl zmenit na to puvodni.
Nekde jde zmena hesla naskriptovat a potom by bylo jednoduche spustit tu zmenu ve smycce 12x.
OK. Ne že bych to považoval za odůvodněné – kdyby někdo věnoval energii tomu, že si napíše skript, aby se dostal zpět na původní heslo, klidně do toho skriptu přidá i sleep(2000) – ale asi takhle někdo mohl uvažovat. Ale líbí se mi, jak tohle pravidlo jde už vyloženě proti bezpečnosti – když uživatel zjistí, že mu během změny hesla někdo stál za zády a heslo odkoukal, tak má prostě smůlu, to heslo půl hodiny nezmění, a „útočník“ si může s heslem dělat, co chce.

Re:Minimální interval mezi změnami hesla
« Odpověď #3 kdy: 27. 03. 2019, 15:20:36 »
Podle me jde jen o to, aby si ho nemohl zmenit na to puvodni.
Nekde jde zmena hesla naskriptovat a potom by bylo jednoduche spustit tu zmenu ve smycce 12x.
OK. Ne že bych to považoval za odůvodněné – kdyby někdo věnoval energii tomu, že si napíše skript, aby se dostal zpět na původní heslo, klidně do toho skriptu přidá i sleep(2000) – ale asi takhle někdo mohl uvažovat. Ale líbí se mi, jak tohle pravidlo jde už vyloženě proti bezpečnosti – když uživatel zjistí, že mu během změny hesla někdo stál za zády a heslo odkoukal, tak má prostě smůlu, to heslo půl hodiny nezmění, a „útočník“ si může s heslem dělat, co chce.

Videl sem to v praxi:
Profesor pri prednasce omylem napsal heslo do fieldu pro username. Videlo to 120 lidi v sale na platne. Tak si ho zkousel zmenit, ale nemohl, protoze si ho zmenil tesne pred prednaskou...

Jinak ten sleep uz by byl nepohodlny.... pri 12 ti heslech by se dostal zpet ke svemu puvodnimu za nejakych 6 - 7 hodin...
A v mezicase by se musel vzdycky divat do toho scriptu jake ma aktualne heslo.
To uz je asi dostatecny opruz aby uzivatel radsi pouzival ruzna hesla...

Re:Minimální interval mezi změnami hesla
« Odpověď #4 kdy: 27. 03. 2019, 16:11:11 »
Profesor pri prednasce omylem napsal heslo do fieldu pro username. Videlo to 120 lidi v sale na platne. Tak si ho zkousel zmenit, ale nemohl, protoze si ho zmenil tesne pred prednaskou...
Ještě by to chtělo, aby toho někdo opravdu zneužil, a aby za to zneužití byl potrestán „bezpečnostní expert“, který tohle pravidlo v dané instituci zavedl.

Jinak ten sleep uz by byl nepohodlny.... pri 12 ti heslech by se dostal zpet ke svemu puvodnimu za nejakych 6 - 7 hodin...
A v mezicase by se musel vzdycky divat do toho scriptu jake ma aktualne heslo.
To uz je asi dostatecny opruz aby uzivatel radsi pouzival ruzna hesla...
Jen pokud by se potřeboval opakovaně přihlašovat. Často ale stačí se někam přihlásit jednou a pak můžete pracovat třeba celý den bez potřeby zadávat heslo znova. A do některých systémů se přihlašujete třeba jednou za několik týdnů nebo i měsíců – takže 7 hodin změny hesla vás opravdu netrápí.

Pořád jde o to, že ne každé opatření, které je otravné pro uživatele, zvyšuje bezpečnost. Ve skutečnosti je to přesně naopak, jak je napsáno v článku – i kdyby nějaké opatření mělo pozitivní vliv na bezpečnost, pokud bude pro uživatele otravné, bude se ho snažit obejít a povede se mu to, čímž se bezpečnost nakonec sníží.


Re:Minimální interval mezi změnami hesla
« Odpověď #5 kdy: 29. 03. 2019, 18:01:08 »
Jinak ten sleep uz by byl nepohodlny.... pri 12 ti heslech by se dostal zpet ke svemu puvodnimu za nejakych 6 - 7 hodin...
A v mezicase by se musel vzdycky divat do toho scriptu jake ma aktualne heslo.
To uz je asi dostatecny opruz aby uzivatel radsi pouzival ruzna hesla...
Jen pokud by se potřeboval opakovaně přihlašovat. Často ale stačí se někam přihlásit jednou a pak můžete pracovat třeba celý den bez potřeby zadávat heslo znova. A do některých systémů se přihlašujete třeba jednou za několik týdnů nebo i měsíců – takže 7 hodin změny hesla vás opravdu netrápí.
Tak systém, který při změně hesla neresetuje všechny sessions daného uživatele bych nepovažoval za bezpečný.

Re:Minimální interval mezi změnami hesla
« Odpověď #6 kdy: 29. 03. 2019, 19:04:07 »
Tak systém, který při změně hesla neresetuje všechny sessions daného uživatele bych nepovažoval za bezpečný.
Ono nic jako session uživatele nemusí existovat. A i když existuje, autentizační systém nemusí být ten samý, jako systém poskytující služby – je to běžné ve webovém prostředí (weby i webové služby), třeba u OAuth nebo OpenID. Autentizační systém tedy vůbec nemusí vědět, jaké kde existují session. Třeba kdybych si teď na MojeID změnil heslo, nemá MojeID žádnou možnost, jak zjistit, že jsem zrovna přihlášený na diskusním fóru na Rootu, natož aby mne dokázalo odhlásit.