web-dev-qa-db-ja.com

パスワードに有効期限はありますか?

私はパートナーと争っています。彼は金融ソフトウェアの出身ですが、私はそうではありません。彼は、私たちのWebアプリがユーザーのパスワードを6か月後に期限切れにすることをお勧めします(毎回一意である必要があります)。ただし、対象読者は工事中です。私はそれがユーザーを苛立たせ、その煩わしさを正当化するのに十分なセキュリティを提供しないと思います。

パスワードの有効期限が切れると思いますか?

101
jrjensen

妥協案は、ユーザーが6か月後(または任意の期間)にサイトに戻ってきたときに、パスワードを変更することを検討することを推奨します役立つことを推奨-これが良い理由である理由へのリンクとともに事彼らのために

これにより、たとえば、セキュリティ上の脅威、システムセキュリティの悪用の修正、またはその他の正当な理由のために、これが発生する日付をすべてのユーザーの特定の日付に繰り上げることができるフレームワークを配置することもできます。

パスワードが期限切れになるとは思いません正当な理由がない、そして6か月が経過したのは良いの理由ではありません。それは空中での一種の期間です。なぜ6、なぜ7または8ではないのか。

毎回パスワードを一意にすると、すべてのユーザーの以前のパスワードがシステムに保存されるであるという明らかな問題が発生します。ハッシュ/暗号化がうまくいけば、それはanyone'sポイントからはあまり良くありませんビューの!


関連項目

情報セキュリティスタック交換でこれらの質問に対する回答を読むことを強くお勧めします。

90日ごとにパスワードを変更すると、セキュリティがどのように向上しますか?

定期的なパスワード変更が必要ですが、以前のパスワードを保存していますか?


興味のあるポイント

有効期限が切れるパスワードのインスタンスは、銀行や他の金融機関に制約されません。この例は Northern Virginia Community College によるものです。

enter image description here


Anecdote

以前、社内の集中システムにタイムシートとプロジェクトのステータス情報を入力する必要がある会社で働いていました。

これは毎週行われるように意図されていましたが、主な要件は、毎月の請求期間の前に、毎月行われることでした。さらに、システムにログインするためのパスワードは30日後に有効期限が切れました。以前のパスワードは再利用できませんでした。

毎月の使用。毎月の有効期限。新しい毎月のパスワード。最初は、パスワードを忘れてリセットしなければならない人々からサポートが殺到していました。

そのため、当然のことながら、現在の月と年に基づいたパスワードを使用するという慣例に陥るのはほぼ普遍的でした。これが、現在のパスワードを覚えて、それが以前に使用されたことがないことを確認する最も簡単な方法だからです。

そのシステムはもう実行されていません。

道徳は、人々は人間だけであることです。誰もがセキュリティエバンジェリストであるとは限りません。私たちは物事を簡単に忘れるので、私たちはそれを自分自身にとってより簡単にするようにしています。何かを書き留めたり、多くの制約がある場合は、自分に役立つパターンを作成します。また、パターンはセキュリティの低下を意味し、そもそもセキュリティを改善しようとした理由そのものを無効にします。

104
Roger Attrill

いいえ

あなたがしているのは、保護しているデータが深刻であることが本当に心配である場合に、セキュリティ要件をユーザーのドメインに押し込むことだけです。この場合、パスワードをどうするかは関係ありません。2段階認証(GMail、Github)、セッション削除(GMail、Github、Facebook)、異常なアカウントアクティビティ通知(GMail)などの二次的な手段を採用する必要があります。実際のオンライン金融サービスで採用されているものなど、より高度な手段。

パスワードは、せいぜい、日和見主義のアカウントアクセスを停止する方法です。つまり、誰かがあなたのプロファイルリンクにアクセスしてプロファイルを編集するのを阻止します。

これが期限切れかどうかに関係なく、過度に複雑なパスワードポリシーの結果は、ユーザーがアカウントにアクセスするのを困難にすることです。事例として、私は今、アカウントにアクセスするためにパスワードリセットを使用することをデフォルトにした、覚えられないパスワードの道をずっと先に押し進められたアカウントを持っています。

セキュリティの観点から実際に何を達成しますか?

this を詳細に読んでおいてください。ただし、上位2つの回答を要約します。ブルートフォース攻撃には影響がありません。ユーザーがパスワードを変更した回数に関係なく、引き続き this および this に悩まされます。古いバックアップデータセキュリティ違反の可能性はありますがしかしこれはUXの質問であり、バックアップセキュリティはシステム管理者としての100%の責任であるため、セキュリティをユーザーのドメインにプッシュすることについての最初のポイント。

実際の金融サービスの例

オンライン金融サービスが実際にアカウントのセキュリティをどのように扱っているかを見るのは興味深いです。彼らはパスワードにほとんど依存していないため、かなり緩いルールを持っているようです。

Paypalを例にとってみましょう。登録してください。必要なのは、1つの数字と1つの記号を含む8文字だけです。特に、ほとんどの人が「1」と「!」を追加することを考えると、あまり安全ではありません。辞書の単語の終わりに。次の情報をリンクで入手することはできませんが、専門的な状況のため、Paypalから直接ハックについて通知するために使用する一連の指標があることをPaypalから直接説明してもらいました。パスワードとアクセス元をすばやく入力します。

あるいは、私の銀行(全国)を例にとることもできます。彼らは3つの単純なコードを使用して侵入しますが、そのすべてが簡単にブルートフォースされる可能性があります。ただし、新しいアカウントに送金しようとすると、チップとPINのカードとカードのPINでハードウェアのピン入力デバイスを使用する必要があります。それだけでなく、私の銀行は各購入を分析し、それが私の購入履歴に適合しない場合、トランザクションをブロックします。これは2回発生しています。どちらの場合も、電話をかけてアカウントのブロックを解除する必要がありました。

ここで私が述べようとしている点は、銀行のような深刻なものは、アカウントを保護するためにパスワードに依存するだけではなく、セキュリティと使いやすさが衝突しているように見えるかもしれませんが、Web上の最大のエンティティのいくつかは、 2つは、非常に機密性の高いデータを処理する場合でもうまく機能します。

44
Toni Leigh

簡単に言えば、Amazon、Google、およびmy bankでは、6か月ごとに、または実際にパスワードを変更する必要はありません。彼らが行うよりも高いセキュリティ*を必要とするあなたは何をしますか?

それが説得力のある議論であることをユーザーのために期待しましょう**。あなたはそうしないことにしました。補足的な議論のポイントは、次のとおりです。なぜ彼らのパスワードを保存する必要があるのですか? OpenIDまたはOAuthを使用してサインインします。たとえば、Googleでサインインしますか?その理由は、自分でパスワードを保存するよりも、Googleにパスワードを保存させる方が安全であるためです。

そして成功を祈る!私はそれがうまくいくことを願っています:)

* 企業の世界では、特定のパスワードの実践が実際よりも有用であるとしばしば考えられています。セキュリティの専門家である金融関係者でいっぱいの部屋では、誰もそのようなことはできないでしょう。これらのような慣習が提起されたときに、雄牛...喜んで呼び出すものです、誰も彼らが理解していない何かがうまくいかない場合に備えて責任を取ることを望んでいないからです。

** そうでない場合は、次も参照してください:

  1. 人々はあなたがそれをめったに使用しないのであなたのシステムに悩まされるでしょう、そしてあなたがこれをするのはなぜあなただ​​けなのですか?
  2. 人々にパスワードを変更させるということは、非常に類似したもの、またはどこかに書き留めたものを選ぶことを意味します。この動作を回避することはできません
25
Robert Grant

セキュリティの専門家の間で受け入れられている知恵 は、パスワードの有効期限/強制的な変更では、一般にセキュリティが向上せず、しばしば低下するということです。頻繁な変更によってパスワードが推測されにくくなることはなく、ユーザーによる安全でないアクション(パスワードを書き留めたり、推測しやすいパターンを使用してパスワードを生成したりするなど)が促進され、攻撃者がまれな状況でのみメリットを提供しますパスワードを知った人はすぐにその知識を利用することはできません。

12
Mark

いいえ、6か月ごとにパスワードを変更しても、アカウントの安全性は向上しません。引き続き同じパス​​ワードルール(大文字、数字、記号、ギャング記号、象形文字、および処女の血)を使用します。実際、変更が必要な場合、ユーザーが安全でない方法で変更を書き留める可能性が高くなります。

1つのサイトでパスワードを変更するよりも重要なのは、オンラインプレゼンス全体でパスワードとユーザー名を再利用することです。パスワードを再利用すると、1つのサイトでパスワードを判読可能なテキストに保存するだけで済み、デジタルライフ全体が危険にさらされます。

唯一の問題は、ユーザーが以前にこのパスワードを使用したかどうかを確認できないことです。そして、それが、私たちが残した唯一の利用可能なセキュリティアクションであるパスワード変更間隔に到達する理由です。ただし、スマートフォン/タブレット/デスクトップでパスワード保持アプリを使用し、サイトごとに新しいパスワードを生成するようユーザーにアドバイスしてください。

そして、それから初めて、パスワード変更間隔よりも安全になります。

10
Benny Skogberg

状況によります。

あなたのサイトは何をしていますか?アカウントが不正使用された場合の実際の結果は何ですか?迷惑または盗まれたアイデンティティ?

アウトソーシング。

OpenID、Google、Facebook、Twitter、YahooにユーザーIDと認証を処理させないでおく正当な理由はありますか?

セキュリティにはコストがかかります。それらを計量します。

正直なところ、指紋スキャナー、暗号化トークン、および5時間ごとに変更する必要がある128文字以上のパスフレーズを組み合わせたスマートカード経由でユーザーにログインを要求してみませんか?セキュリティのコストとメリットのバランスを取る必要があります。

箱の外で考えてください。

パスワードは最低です。他の人が使っているからといってそれらを使用しないでください。 Clef のようなクールなものはどうですか?

7
Dane

顧客がいるウェブサイトの場合、答えは常にノーです。

これはセキュリティとは関係ありません。

これは、6か月ごとに、新しいパスワードを作成したり、どこかに記録したりするなどの煩わしさに対処することができないユーザーのかなりの割合を失うことになるためです。

強制的なパスワードの変更は、従業員や他の拘束された対象者にとっては受け入れられますが、顧客にとってはひどいものです。

5
Dewi Morgan

パスワードの有効期限はユーザーの制約です。したがって、ユーザーにとっては理にかなっているはずです。そうでなければ、それは悪い経験を生み出します。

重要な質問は次のとおりだと思います:ユーザーがWebアプリへのアクセスをセキュリティで保護することはどれほど重要ですか

あなたが金融取引を提供するか、単に読むコンテンツを提供するならば、それは同じではないでしょう...

4
Florent Goumy

私の知る限り、私の銀行口座のパスワードの有効期限はありません。UXの観点からは、次のいずれかの状況にあります。

  • ユーザーが自分のパスワードを安全に保つことを信頼していない
    • 彼らは自分の電動工具にそれを書き留めるか、彼らがオヴァルティンをどれだけ愛しているかについて友達に自慢します
  • 侵入検知を処理するための適切なインフラストラクチャ設定がありません。
    • こんにちは、このコンピュータからログインしたことがないので、テキスト/メールを送信しました。確認コードを入力してください。
  • あなたのシステムは本質的に安全ではなく、総当たり攻撃は軽減されません。
    • 3〜5回の不正な試行の後、アカウントはロックされますか?

任意のパスワードの有効期限を設定するのが難しい場合、私の個人的な推奨事項は、古いパスワードで一度ログインして、「このパスワードは6か月以上経過しています。閉じないでください」という画面を表示することです。このウィンドウで今すぐパスワードを変更してください。変更しない場合、後で変更するための完全なPITAになります。良い一日をお過ごしください。」

侵入の試みを軽減するために考えられるすべての方法を考えると、全体的なパスワードは期限切れになりません。

この設定がない場合は、必ず毎週パスワードを期限切れにしてください。

4
MonkeyZeus

私たちは毎日期限切れにならないパスワードを使用しています-それらは指紋と呼ばれています。それらを機能させるのは、2要素認証または3要素認証です(ピンが必要で、アクティブ化されたスマートフォンが存在する必要があります)。確かに、問題はブルーカラーのオーディエンスがスマートフォンを持っていることを必要とし、いつもそれに頼ることができないということです。

データの機密性はどの程度ですか?部分的にログインできますか?アマゾンを見てください-再度ログインすることを強制されることなく、閲覧、設定の使用、推奨の表示、カートへの追加が可能です。また、Amazonはリボルビングパスワードを必要としないことにも注意してください。

これは良い習慣ですが、財務法やHIPAA法を順守していない限り、セキュリティがユーザビリティの悩みの種であることを覚えておくことをお勧めします。

2
Imperative

パスワードの有効期限はありますか?

これはユーザーエクスペリエンスおよびSecurityですが、まず最初に:

答えはそうです!


ユーザーエクスペリエンスの側から始めます。これは、xkcd誰もがおそらく認識するでしょう:

xkcd Password Strength

では、テストしてみましょうcorrect horse battery staple onHowSecureIsMyPassword

1秒あたり40億回の計算を実行する通常のデスクトップPCでは、次のようになります。

desktop pc results

「そうですが、それは単なる通常のデスクトップPCです。もっと速いものはどうですか?」

OK。 毎秒33,860兆回の計算を実行する世界最速のスーパーコンピュータはどうですか

fastest supercomputer in the world results

それは本当に長い時間です!不可能!

「待ってください!ちょっと待って!他のTr0ub4for&3コミックのパスワードは?きっとそれを解読するのにも長い時間がかかるでしょうね」

では、中国がそれで何をするか見てみましょう!

enter image description here

たった4時間!?!?!

うん!覚えてね :

長さと覚えやすい>複雑さ!

さて、それは本当です、あなたはまた、覚えておく必要があります、二要素認証は今日行く方法であり、Clefはその方向に素晴らしい設定をしています。


今、Security側に関しては、この特定の質問は既に質問されています(別の質問)言い回しだが、同じものを迂回する)byBill the Lizard♦onSecurity.SE

90日ごとにパスワードを変更すると、セキュリティがどのように向上しますか?

それは彼の質問で注目に値するかもしれません、彼はそれを次のように編集しました:

この質問はIT Security Question of the Weekでした。
詳細については、2011年7月15日ブログエントリをご覧ください...

これは受け入れられた回答からJustin CavethatBill the Lizard♦選択:

パスワードの有効期限ポリシーが存在する理由は、攻撃者がシステムのパスワードハッシュを取得してそれらを解読した場合に発生する問題を軽減するためです。これらのポリシーは、古いバックアップを攻撃者が失うことに関連するリスクの一部を最小限に抑えるのにも役立ちます。

たとえば、攻撃者が侵入してシャドウパスワードファイルを取得した場合、システムにさらにアクセスすることなく、パスワードの総当たりを開始する可能性があります。彼らがあなたのパスワードを知ったら、彼らがシステムにアクセスし、攻撃者がシャドウパスワードファイルを取得してからパスワードハッシュをブルートフォースすることができるまでの間にパスワードを変更していない限り、彼らが望むあらゆるバックドアをインストールできます。パスワードハッシュアルゴリズムが十分に安全で、攻撃者を90日間延期できる場合、パスワードの有効期限により、攻撃者はシャドウパスワードファイルからそれ以上の価値を得ることはありません。ただし、既に取得したユーザーアカウントのリストは例外です。

有能な管理者は実際のシャドウパスワードファイルを保護しますが、組織全体としては、バックアップ、特に古いバックアップの方が緩やかになる傾向があります。理想的には、もちろん、誰もが本番データの場合と同様に、6か月前のバックアップが含まれているテープに注意する必要があります。ただし実際には、大規模な組織では、古いテープの中には必然的に置き忘れ、ファイルの紛失、その他の方法で失われるものがあります。パスワードの有効期限ポリシーは、ライブシステムからのパスワードハッシュの侵害を軽減するのと同じ理由で古いバックアップが失われた場合に行われる損傷を制限します。 6か月前のバックアップを紛失した場合、機密情報を暗号化していて、バックアップが作成されてからすべてのパスワードの有効期限が切れているため、ユーザーアカウントのリスト以外は何も失われていない可能性があります。

しかし、私にとって、ベストアンサー、および私が投票したのは、Hendrik Brummermann♦

答える前に、役立つかどうかにかかわらず、特定のシナリオを検討することは理にかなっています。 (これは、セキュリティの測定値を扱うときによくあることです)

パスワードの強制変更はどのような状況で影響を軽減しますか?

攻撃者はユーザーのパスワードを知っていますが、バックドアはありません。彼は発見されたくないので、自分でパスワードを変更しません。

このシナリオがありそうかどうか見てみましょう:

彼はどのようにパスワードを学んだのでしょうか?

  • 被害者は彼に言ったかもしれません(たとえば、自分のアカウント設定を取得する前に作業を開始する必要がある新しいインターン、オンラインゲームでアカウントを平準化する必要がある別の人)
  • 攻撃者はキーワードを監視した可能性があります
  • 攻撃者は、ユーザーが同じパスワードを使用した別のパスワードデータベースにアクセスできた可能性があります。
  • 攻撃者が所有(準備)したコンピューターを使用して1回限りのログイン。

彼がバックドアを設定するのを妨げたのは何ですか?

  • 問題のサービスは、メールの受信トレイや一般的なWebアプリケーションなど、バックドアの手段を提供しない場合があります
  • ユーザーの権限には、バックドアをインストールするための十分な権限がない可能性があります
  • 攻撃者は必要な知識を見逃す可能性があります(オンラインゲームのスタンダールでは、ほとんどの「ハッキング」は、おもちゃを破壊したいだけの怒っている兄弟によって行われます)。
  • 攻撃者はまだ悪に変わっていないかもしれません。 (例:来月解雇されるが現時点では何も疑わない従業員).

強制パスワードの有効期限を使用しないのはなぜですか?

ユーザーが最後にカウンターを追加するだけなので、ユーザーを非常に煩わしくする可能性があります。これにより、パスワードのエントロピーが減少する可能性があります。私の経験によれば、人々は通常よりも頻繁に新しいパスワードを忘れるため、追加のサポートコストが発生します。これは、パスワードの変更プロンプトが、他のことを考えるのに忙しいときに不意を突かれていることが原因だと思います。

おわりに

これは万能薬とはほど遠く、ユーザビリティにマイナスの影響を与えますが、前述のシナリオと同様の可能性とシナリオの影響とのバランスを取ることは理にかなっています。

2
Code Maverick

私はセキュリティの専門家ではありませんが、ユーザーにパスワードの定期的な変更を強制するべきではないという回答の大部分には同意します。

上記のように、それはユーザーにとってより困難なことです。これは、パスワード要件が非常に厳しい場合に特に当てはまります。パスワードは、多くの種類の攻撃に対して効果的なセキュリティではありません。彼らは一般的にカジュアルな侵入者を阻止しますが、非常に熟練した断固としたハッカーは、ほぼすべての形態のセキュリティに違反することができます。

Facebookなどの多くのWebサイトには、ユーザーがログインしたIPアドレスを記録し、不明なデバイスからアクセスされた場合にアカウント所有者に電子メールを送信します。これは少なくとも、詐欺または詐欺未遂をより早く捕まえるための戦いの機会を与えます。また、アカウントを変更すると、パスワードの変更などのアラートも送信されます。

ブルートフォースハッキングに関する限り、パスワードロックアウトポリシーは効果的です。特定のユーザーに対して無効なパスワードをx回以上入力しようとした場合、アカウントをロックする必要があります。この数は、セキュリティ専門家が決定する必要があります。 Markが指摘したように、自動化されたパスワードリセットは、ソーシャルエンジニアリングを利用することで悪用される可能性があります。ただし、これには、攻撃者が電子メールアカウントにアクセスし、リセットされたパスワードを傍受することも必要になります。

1

はい、完全な世界では、パスワードは期限切れになり、ユーザーは新しいパスワードを発明して記憶する必要があります。

どうして?

セキュリティ上の理由のみ。有効期限により、パスワードが定期的に変更されることが確認され、ハッキング/漏えい/盗まれたアカウント資格情報の使用を防ぎます。ユーザーIDの検証と認証に適しています(低レベル、リアルタイムではありません)。

パスワードの有効期限はクレジットカードの有効期限とまったく同じであるため、自動リアルタイムセキュリティ対策とは考えないでください。どちらも、有効期限が切れる前に、許可されていないユーザーがそれらを使用するのを防ぎません。クレジットカードが盗難/紛失した場合は、銀行に連絡してカードを閉じる必要があります。同じことがパスワードにも当てはまります。盗難/紛失の疑いがある/わかっている場合は、パスワードを変更する必要があります。

  • 誰かがあなたの期限切れのクレジットカードを見つけた場合、それは役に立たないです。

  • 誰かがあなたのパスワードを見つけた場合、それが期限切れであることを望みます->役に立たない。

リアルタイムのセキュリティ対策として、必要に応じて、他のタイプのユーザーID検証/パスワードによる承認を使用する必要があります。

ブログやSOMEアカウントは、おそらくあまり多くの認証を必要としません。しかし、たとえば私の銀行では、パスワードを変更する必要なしに、自分の資格情報でログインできますが、私の口座の詳細や送金を確認するには、送金ごとにキーの物理的なリストで身元を確認する必要があります。キーのリストが私の金庫にロックされている限り、これは最高のユーザーエクスペリエンスではありませんが、安全なエクスペリエンスです。 ;-)

決定するのは頻度です。ファイナンスでは、パスワードをリセットするために短期間であることがより重要であり、次に、財務的または個人的に重要なデータを保持していないものではそれほど頻繁ではありません。

しかし、現実の世界では、ユーザーがパスワードの有効期限の頻度が厳しすぎることに不満を感じるようになりました。これは、ユーザーがPOSTキーボードの下にあるITステッカー...

0
Samuel M