Bạn có thường xuyên thay đổi quản trị viên / mật khẩu root không?


12

Tôi có một thói quen xấu là hiếm khi thay đổi mật khẩu quản trị viên trong miền của mình. Mật khẩu tôi sử dụng khá tốt nhưng tôi muốn thống nhất hơn về vấn đề này.

Bạn nghĩ gì về một tần số tốt? 6 tháng có lẽ?


90 ngày là cách thực hành tốt nhất để thay đổi mật khẩu.
Warner

Trong unix, bạn có thể sử dụng một công cụ như sudo, có nghĩa là một số người dùng nhất định có thể được cấp quyền sở hữu gốc trong một thời gian ngắn. Họ không cần biết mật khẩu gốc. Trong thực tế, bạn có thể thoát khỏi việc không có một bộ hoặc không bao giờ biết về nó. Trong trường hợp này, bạn không cần phải thay đổi nó. Người dùng sẽ cần phải thay đổi mật khẩu của riêng họ mặc dù.
Matt

Trời ơi, sau khi đọc tất cả các bài đăng này, tôi biết rằng thực tế là có một tên miền mà tôi làm việc đôi khi (trong đó tôi không phải là sysadmin, nhưng có tài khoản quản trị viên) trong đó administratormật khẩu đã giống nhau trong 7 năm, và nó chỉ dài 8 ký tự. Có lẽ tôi sẽ gửi cho họ một email ...
Mark Henderson

Câu trả lời:


9

Hãy thực hiện một phép tính nhanh (và quên đi các thực tiễn tốt nhất trong giây lát):

Giả sử khung thời gian sáu tháng để kẻ tấn công hack hệ thống của bạn. Chúng ta cũng giả sử rằng mật khẩu được chọn ngẫu nhiên từ một bộ ký tự có kích thước 62.


Kịch bản 1: Bạn sử dụng mật khẩu 9 ký tự cho toàn bộ sáu tháng.

Kịch bản 2: Bạn sử dụng mật khẩu 9 ký tự trong ba tháng đầu và mật khẩu 9 ký tự khác nhau cho ba monts còn lại.

Kịch bản 3: Bạn sử dụng mật khẩu 10 ký tự cho toàn bộ sáu tháng.


Trong Kịch bản 1 , kẻ tấn công vũ phu tấn công tài khoản của bạn một cách chắc chắn 100%, nếu anh ta có thể thực hiện 62 ^ 9 lần thử trong thời gian đó.

Trong Kịch bản 2 , nếu anh ta chỉ có thể thực hiện (62 ^ 9) / 2 lần trong một nửa thời gian (ba tháng), anh ta sẽ hack tài khoản với độ chắc chắn 50%. Trong hiệp hai, anh sẽ có thêm một cơ hội với sự chắc chắn 50%. Vì vậy, theo thống kê, anh ta sẽ hack tài khoản với độ chắc chắn 75%.

Trong Kịch bản 3 , anh ta sẽ có 62 ^ 9 lần thử trong toàn bộ sáu tháng. Nhưng có 62 ^ 10 khả năng. Vì vậy, anh ta sẽ hack tài khoản chỉ với độ chắc chắn 1/62, khoảng 1,6%.


Vì vậy, nếu chúng tôi loại bỏ tất cả các yếu tố khác (như mật khẩu bị đánh cắp và các loại tấn công khác), khuyến nghị là chọn mật khẩu dài hơn thay vì sử dụng mật khẩu ngắn hơn (hoặc đơn giản hơn), ngay cả khi chúng được thay đổi thường xuyên hơn. Đặc biệt, vì trong Kịch bản 3 , chỉ có 10 ký tự để nhớ, trong khi ở Kịch bản 2 , nó là 18 ký tự.


2
+1, Sử dụng mật khẩu rất dài. Không ai thực sự sẽ bẻ khóa mật khẩu 18 ký tự trong 6 tháng. Nếu họ thực sự muốn dữ liệu của bạn tệ, họ sẽ đột nhập và đánh cắp máy chủ.
Chris S

Tình yêu này, cũng đặt. Với mật khẩu ... vấn đề kích thước.
Kara Marfia

Vì vậy, một mật khẩu dài tốt sẽ làm tốt trong một thời gian khá dài sau đó. Tôi nghĩ rằng tôi sẽ chỉ sử dụng một mật khẩu tốt và thực hiện chu kỳ 12 tháng. Điều này sẽ cho tôi một cơ hội tốt để ghi lại tất cả mọi thứ sẽ bị phá vỡ (thật không may). Chỉnh sửa: Ý tôi là 16+ ký tự. Tôi thích sử dụng các câu bao gồm dấu câu và dấu cách và tất cả.
dùng24555

Tôi luôn cười khúc khích khi ai đó nói về vũ phu - buộc mật khẩu. Nó không xảy ra. Giai đoạn = Stage. Chỉ NSA (hoặc tương đương) hoặc tội phạm có tổ chức mới có thể làm điều đó, trong trường hợp đó bạn có vấn đề lớn hơn nhiều mà không thể giải quyết bằng một mật khẩu tốt.
Dan Andreatta

Thêm vào nhận xét trước đó, tôi đã làm một phép toán nhanh và sẽ mất khoảng 1 ngày để bẻ khóa mật khẩu 6 char với máy tính để bàn hiện đại, dẫn đến 10 năm cho mật khẩu 8 char. Hiệu suất để mã hóa nếu từ kiểm tra tốc độ openssl.
Dan Andreatta

2

Chúng tôi chủ yếu là các cửa sổ và mỗi quản trị viên có tài khoản quản trị viên tên miền của riêng họ và chúng tôi chỉ tin tưởng lẫn nhau để có mật khẩu mạnh và thay đổi chúng mọi lúc mọi nơi. Tôi chắc rằng mọi người đều có mật khẩu mạnh vì chúng tôi sử dụng áp lực ngang hàng để đảm bảo chúng dài và có số và / hoặc ký tự trong đó, nhưng chúng tôi không thay đổi chúng thường xuyên. \

THÊM: Cho đến nay, hầu hết mọi người có thể đã nghe thấy điều này, nhưng chỉ trong trường hợp. Chuyên gia mã hóa và bảo mật Bruce Schneier nói rằng bạn nên có mật khẩu mạnh và viết chúng xuống.


Làm thế nào mà áp lực ngang hàng làm việc? Mọi người có thể xem mật khẩu của nhau không?
Bill Weiss

2
Theo kinh nghiệm của tôi, không người dùng nào có thể tin tưởng để tự thay đổi mật khẩu, ngay cả nhân viên CNTT.
ITGuy24

@Bill: chỉ có 3 người chúng tôi và chúng tôi đã làm việc với nhau trong một thời gian dài, vì vậy áp lực ngang hàng là "Tôi không thấy bạn gõ bất kỳ số nào ngay sau đó ..."
Ward - Rebstate Monica

Điều đó không có quy mô rất tốt :) Ngoài ra, thói quen xem mọi người nhập mật khẩu quản trị viên của họ sẽ không tốt nếu bạn thường xuyên truy cập các trang web khác.
Bill Weiss

Điều gì về việc có một cái gì đó như một "bình thề"? Nếu một quản trị viên khác có thể quản lý để phá mật khẩu của bạn (sử dụng một cái gì đó như ophcrack), bạn phải đặt $ 5 vào nồi.
Nic

1

Mặc dù về mặt lý thuyết sẽ tốt hơn nhiều nếu thay đổi mật khẩu thường xuyên, nhưng hãy để yếu tố đó viết theo cấp số nhân tăng theo cấp số nhân khi thời gian hiệu lực ngắn hơn.

Nếu đây chỉ là mục đích sử dụng riêng, tại sao không sử dụng xác thực khóa công khai và chỉ có PW tốt cho khóa của bạn?


1
Câu hỏi này có vô số ý tưởng để quản lý mật khẩu: serverfault.com/questions/21374/ trên
Phường - Tái lập Monica

1

Bạn đang thực sự nói về tài khoản Quản trị viên cho tên miền (SID: S-1-5-21domain-500) hay bạn đang nói về tài khoản quản trị viên bạn đã tạo cho mình để bạn có thể nhận được nhật ký hữu ích về việc ai làm gì?

Tôi thường sẽ thiết lập tài khoản Quản trị viên để có một mật khẩu dài (hơn 20 ký tự) và lưu trữ mật khẩu ở một vị trí an toàn và không bao giờ sử dụng tài khoản đó. Tôi thường chỉ thay đổi mật khẩu đó mỗi năm hoặc lâu hơn. Mạng của chúng tôi cũng có các hệ thống khóa và như vậy sẽ ngăn chặn mọi cuộc tấn công vũ phu từ xa trở nên rất hiệu quả. Vì tôi không bao giờ sử dụng mật khẩu cho các nhiệm vụ hàng ngày, nên khả năng nó bị chặn gần như không tồn tại.

Nếu bạn đang nói về tài khoản cá nhân của tôi rằng tôi đã cấp đặc quyền quản trị viên cho tôi, tôi có xu hướng thay đổi nó khoảng 6 tháng một lần. Tôi cũng có xu hướng sử dụng xác thực dựa trên khóa bất cứ khi nào có thể để mật khẩu của tôi rất hiếm khi được truyền đi bất cứ đâu. Tôi cũng thường không làm việc với những gì tôi nghĩ rằng hầu hết mọi người sẽ coi là hệ thống rủi ro cao.


Tôi đang nói về quản trị viên tên miền. Tài khoản của riêng tôi không phải là một phần của nhóm quản trị viên tên miền. Tôi nghĩ rằng sẽ tốt hơn nếu ngừng sử dụng quản trị viên tên miền gốc và tạo một quản trị viên tên miền phụ với tên người dùng khác.
dùng24555

0

Không có vấn đề phức tạp như thế nào bạn có thể được thiết lập. Luôn luôn là một cách tốt để thay đổi mật khẩu của bạn sau mỗi 30 đến 42 ngày. 6 tháng là mật khẩu quá cũ. Luôn phải có một chính sách mật khẩu tốt được triển khai để giữ an toàn và bảo mật :-)


4
Nơi nào bạn đến với "30 đến 42 ngày"?
Bill Weiss

Đó là một thực tiễn tốt nhất về bảo mật để có mật khẩu hết hạn sau mỗi 30 đến 90 ngày, tùy thuộc vào môi trường của bạn. Bằng cách này, kẻ tấn công có một khoảng thời gian giới hạn để bẻ khóa mật khẩu của người dùng và có quyền truy cập vào tài nguyên mạng của bạn. Mặc định: 42. Không phải lời tôi nói, lấy nó từ "Thực tiễn tốt nhất"
Vivek Kumbhar

1
Làm thế nào về việc cung cấp cho chúng tôi một liên kết đến một tài liệu hoặc tài liệu tham khảo trong đó điều này được nêu thay vì chỉ lặp lại rằng đó là một 'cách thực hành tốt nhất'. Tôi thường từ chối coi một cái gì đó là một thực tiễn tốt nhất trừ khi nó được xuất bản trong một nguồn đáng tin cậy.
Zoredache


Công cụ tìm kiếm của trình duyệt của tôi phải bị hỏng. Tôi không thấy "42" trong đó.
Bill Weiss

-1

Tôi thường chỉ đặt lại mật khẩu gốc sau khi một nhân viên đã rời đi ... nhưng khuyến khích người dùng có quyền truy cập sudo để thay đổi mật khẩu của họ sau mỗi 90 ngày.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.