[ОТВЕТИТЬ]
Опции темы
14.09.2017 11:53
 
Администраторы достаточно часто устанавливают политики устаревания пароля. Например, в одной организации, которая у меня перед глазами, пароль меняют раз в месяц, причем это должен быть неповторяющийся пароль, содержащий заглавные и строчные буквы, цифры и спецсимволы, длиной не меньше 8 знаков. Круто? Безопасно? Да ни хрена. Народ попроще ничего запомнить не может и записывает на бумажках, валяющихся по всему офису, народ попродвинутее соображает что-то вроде ZAQ!xsw2. С учетом того, что после 3х неправильных паролей учетка банится, техсаппорт просто воет. Вот такая вот безопасность.




На мой взгляд, требования смены пароля - бред. Во-первых, это стоит денег. Т.е. смена пароля требует затрат времени пользователя, а это стоит денег. Да-да, это конкретные и немаленькие при большом количестве народа суммы. Во-вторых, пользователи, особенно те, которым надо использовать несколько учеток, взрывают себе мозг и сильно замедляются, не говоря уж о том, что при первой возможности они начинают использовать одинаковые пароли в разных сервисах, упрощать и записывать пароли. Более того, сама процедура смены пароля и все связанное с ней может дать лишний повод для компрометации учетки.

Давайте попробуем найти плюсы в том, чтобы пароли менять. От чего это спасет. Я, если честно, вижу не много. Например, если у пользователя пароль увели, но пока злоумышленник размышлял подключаться ему или нет с этим паролем, пароль поменяли. Велика ли вероятность этого? Нет. Если увели, например, соль и подбирают пароль брутфорсом. Ну, какая-то защита есть, да. Хотя, тут, думаю, либо ресурс сломается очень быстро, что пароль не успеют поменять (по словарю, например), либо ресурс так нужен, что брутфорс будет далеко не основным методом взлома. Есть у нас спецы по теории вероятности? Мне кажется, что смена пароля, как фактор изменения шанса его подбора брутом бессмысленна, поскольку она настолько же увеличивает шанс попасть в ближайшие для брутфорса варианты, как и шанс в уже опробованные. В качестве одного из доводов в защиту смены пароля приводят и передачу своего пароля другим сотрудникам, дескать, неменяющиеся пароли скоро узнают все. Думаю, что смена паролей в данном случае - это ректальное лечение гланд. Отслеживать использование чужих учеток и административное воздействие на кретинов, которые это допускают - вот, чем надо обязательно заняться.

В общем, я бы рекомендовал использовать уникальные для каждого ресурса, гигантские, несловарные, сложные и легкозапоминающиеся для пользователя пароли, а не регулярную их смену. Я не прав?
Опции темы



Часовой пояс GMT +3, время: 21:43.

Все в прочитанное - Донат - RSS - - Карта - Вверх

Форум сделан на основе vBulletin®
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.