RSA SecurIDのピン変更ポリシー
私の会社では、次の認証を含むリモートアクセスを許可しています。
- username
- パスワード/フレーズ(20文字以上)
- ユーザーが選択PIN + RSA SecurIDトークンコード
私たちのパスワードは6週間ごとに変更する必要があり、もちろんSecurIDトークンは60秒ごとに変更されます。
最近ポリシーが少し変更され、PINを12か月ごとに変更する必要がありました(以前はPINを変更する必要はありませんでした)。これによりセキュリティがどのように向上するかは個人的にはわかりませんが、エキスパートではありません。
PINこのような変更ポリシーはどのようなセキュリティ上の利点をもたらしますか。具体的には(可能な場合)、これによってどの脅威/攻撃が軽減されますか?
実際には何もありません。環境ですでに20文字以上のパスワードを使用している場合、これはPINがこれを「倍増」するようなものです。RSAトークンは通常、ワンストップソリューションとしてデプロイされます。ログインあなたのユーザー名で、あなたはパスワードを知っており、あなたはトークン(コードを与える)を持っています。
トークンに使用されるPINよりも強力な強力なパスワードの追加レイヤーがあります。
つまり、私が間違っていたら訂正してください。しかし、これがこれらの条件で保護する唯一のことは、何らかの理由で不明な、失われたキーまたは野生の古いキーだけです。また、1年以上経過したキーは将来の誰にとっても役立たないため、自動的に終了するライフプロセスです。
より偏執的なシステム管理者の一部は、攻撃者がキーを取得し、それから誰が永遠に危険であるかを知っていると考えるかもしれません。彼らがしなければならないのは、残りの詳細を見つけることであり、そのシステムに終わりがありません。理論的には、攻撃者は無制限の時間で偵察を行うことができます。このルールは、必要な詳細の残りを見つける上で1年間の制約を提供します。可能であれば、一種の自動ガベージコレクション。しかし、ここで私が考えることができるのはそれだけです。