mboost-dp1
Skift af password hver 30. dag
- Forside
- ⟨
- Forum
- ⟨
- Software
Vi har en latterlig sikkerhedspolitik her på stedet der gør vi skal skifte password hver 30. dag. Det har hidtil blot været en smule irriterende da godt og vel alle havde et grund password som de tilføjede et special tegn til. eks: godMin78¤ efterfulgt af godMin78% osv.
Nu har de ændret på politiken så man ikke længere kan nøjes med at skifte et tegn ud.
Det undrer mig meget, jeg er ikke den store haj til hashes og krypteringer men burde det ikke være umuligt for dem at se hvor meget der er skiftet siden sidst?
Hvis de kan det lugter det så ikke lidt af at passwords gemmes i cleartext?
Jeg vil tro der benyttes AD til det. Så hvis nogen kender til AD og ved om man kan fiske et password til en bruger ud af databasen i cleartext på trods af det er hashet så sig endelig til.
Nu har de ændret på politiken så man ikke længere kan nøjes med at skifte et tegn ud.
Det undrer mig meget, jeg er ikke den store haj til hashes og krypteringer men burde det ikke være umuligt for dem at se hvor meget der er skiftet siden sidst?
Hvis de kan det lugter det så ikke lidt af at passwords gemmes i cleartext?
Jeg vil tro der benyttes AD til det. Så hvis nogen kender til AD og ved om man kan fiske et password til en bruger ud af databasen i cleartext på trods af det er hashet så sig endelig til.
#2 Er det ikke et klassisk eksempel på security through obscurity? Hvis de gemmer mine password i cleartext så er der da ikke megen sikkerhed at komme efter. Det må da være min pligt at informere om der kan være et problem hvis det er tilfældet.
Konsekvensen vil jeg påstå jeg er ved at undersøge lige nu, her.
Konsekvensen vil jeg påstå jeg er ved at undersøge lige nu, her.
Efter vi har indført en lignende politik kan jeg se at mange har valgt at skrive deres koder på en gul seddel der sidder på skærmen.
Jeg plejer også bare at skifte et tegn ud og det virker fint her.
Den sikkerhedspolitik synes jeg er temmelig dum. Hvert halve år ville give mere mening.
Jeg plejer også bare at skifte et tegn ud og det virker fint her.
Den sikkerhedspolitik synes jeg er temmelig dum. Hvert halve år ville give mere mening.
Passwords i AD er krypterede.
30 dages passwords skift er næsten for kort tid, hvis man skal cycle igennem rigtig tunge passwords.
Det største problem med månedslige password skift, er at folk gerne begynder at bruge månedsnavne som passwords...
30 dages passwords skift er næsten for kort tid, hvis man skal cycle igennem rigtig tunge passwords.
Det største problem med månedslige password skift, er at folk gerne begynder at bruge månedsnavne som passwords...
Vi bliver vist tvunget til skift hver anden måned, jeg har set mange koder, hvis vi siger februar44 er standard koden, så bliver den bare til 45 og 46 efter to måneder mere.. totalt ligegyldigt at have sikkerhed når det sker.
men hvis password er krypteret, hvordan kan se så se om jeg taster det korrekte password ind når jeg logger ind?
Kunne du ligesågodt spørge om.
Passwords Hashes.. AD har nøglen AD tjekker om det virker. Der sidder ikke en mand og holder øje realtime hvad folk laver med deres passwords.
Kunne du ligesågodt spørge om.
Passwords Hashes.. AD har nøglen AD tjekker om det virker. Der sidder ikke en mand og holder øje realtime hvad folk laver med deres passwords.
Admin siger:
"Mojn AD, Brugere skal bruge passwords efter disse regler, håndhæver du ikke lige det?"
"KTHXBAI"
"Mojn AD, Brugere skal bruge passwords efter disse regler, håndhæver du ikke lige det?"
"KTHXBAI"
#8: Det giver ingen mening med hashes, for koden hej0 vil være totalt anderledes end koden hej1.
Her er lidt læsestof.
Her er lidt læsestof.
http://support.microsoft.com/kb/102716 skrev:This password is computed by using the RSA MD-4 encryption algorithm. This algorithm computes a 16-byte digest of a variable-length string of clear text password bytes.
Som SlettetBruger siger: Hvordan tjekker AD om det du skriver når du logger på, er det rigtige?
Password ligger ikke i cleartext, og du kan ikke trække dem ud af AD som default.
Der er dog mulighed for at enable 'Store passwords using reversible encryption', enten via GPO eller per user, så krypterede passwords kan reverses.
Password ligger ikke i cleartext, og du kan ikke trække dem ud af AD som default.
Der er dog mulighed for at enable 'Store passwords using reversible encryption', enten via GPO eller per user, så krypterede passwords kan reverses.
Du skal vel taste dit gamle password ind for at skifte til et nyt. Når du indtaster både det gamle og det nye password, så er det jo trivielt at verificere hvor meget de ligner hinanden.mfriis (1) skrev:Det undrer mig meget, jeg er ikke den store haj til hashes og krypteringer men burde det ikke være umuligt for dem at se hvor meget der er skiftet siden sidst?
Der er to måder at slippe omkring det på. Den ene metode er at skifte imellem to forskellige passwords. Man kan normalt kun sammenligne med det nyeste, og hvis man skifter mellem to er det ikke nemt at opdage.
Du skal dog være opmærksom på, at gamle hashes kan gemmes, så kravet kan være, at du ikke må bruge et der er fuldstændigt identisk med noget du har brugt før, plus at det ikke må ligne det nyeste.
Et check for om dit password ligner noget du har brugt længere tilbage er sværere at implementere. Det kan dog gøres ved at hver gang du skifter gemmes det foregående krypteret vha. det nyeste. Dermed gemmes aktive passwords ikke, kun udskiftede passwords gemmes. Jeg har dog aldrig hørt om nogen, der er gået så vidt i check for passwords.
En anden måde at omgå det på er ved at kontakte sin IT afdeling og sige at man har glemt sit password. Hvis systemet er lavet således at kun en hash af det nyeste password er gemt vil dette betyde at det ikke længere nemt kan checkes om dit nyeste password ligner det foregående.
Der er dog mere komplicerede måder at stadig udføre checket på. F.eks. kan man i stedet for at sammenligne de to passwords direkte tage dit nye password og teste en lang række åbenlyse variationer for at se om en af dem matcher den gemte hash.
Desuden vil din IT afdeling nok undre sig lidt hvis du altid er i stand til at huske dit password i præcist en måned og altid glemmer det lige netop som du skulle til at skifte.
Hvad man kunne gøre som ville være langt mere realistisk ville være at vælge en absurd tilfældig sekvens af tegn som sit nye password og derefter kontakte IT når man virkeligt ikke kan huske hvad man valgte. Og så når password er blevet nulstillet vælge noget der minder om det foregående.
Jeg har i øvrigt været udsat for passwords der skulle udskiftes oftere end det. Nærmere bestemt har jeg været udsat for at der var et password som jeg skulle ændre ugentligt.
Hvis nu sikkerhedspolitikken underminerer sikkerheden er det da meget forståeligt. Hvis sikkerhedspolitikken underminerer både sikkerheden og produktiviteten er det endnu mere forståeligt.terracide (2) skrev:Så du vil underminere din arbejdsgivers sikkerheds politik?
kasperd (18) skrev:Du skal vel taste dit gamle password ind for at skifte til et nyt. Når du indtaster både det gamle og det nye password, så er det jo trivielt at verificere hvor meget de ligner hinanden.
Der er to måder at slippe omkring det på. Den ene metode er at skifte imellem to forskellige passwords. Man kan normalt kun sammenligne med det nyeste, og hvis man skifter mellem to er det ikke nemt at opdage.
Du skal dog være opmærksom på, at gamle hashes kan gemmes, så kravet kan være, at du ikke må bruge et der er fuldstændigt identisk med noget du har brugt før, plus at det ikke må ligne det nyeste.
Et check for om dit password ligner noget du har brugt længere tilbage er sværere at implementere. Det kan dog gøres ved at hver gang du skifter gemmes det foregående krypteret vha. det nyeste. Dermed gemmes aktive passwords ikke, kun udskiftede passwords gemmes. Jeg har dog aldrig hørt om nogen, der er gået så vidt i check for passwords.
Vi har et check der går 3 eller 4 password tilbage og kender en hvor de ikke må brug 3 tegne der står på samme måde gennem de sidste 10 password.
Hvis man rent faktisk gemmer gamle passwords i klartekst for at kunne implementere de checks, så er det et symptom på, at man har prioriteret sin sikkerhedspolitik højere end sikkerheden.Jonasee (19) skrev:Vi har et check der går 3 eller 4 password tilbage og kender en hvor de ikke må brug 3 tegne der står på samme måde gennem de sidste 10 password.
løningen som nogle bruger, er at når det er tid til at skifte password, skifter man password 3, 5 eller 10 gange -for så at skifte tilbage til sit gamle password.
dvs. man maxer bare password memory ud på 2 minutter, og så er der intet der forhindre en i at bruge det gamle.
dvs. man maxer bare password memory ud på 2 minutter, og så er der intet der forhindre en i at bruge det gamle.
Det vil altså sige, at hvis nogen ser hvad du taster ind som dit nye password, så kræver sikkerhedspolitikken, at man venter 24 timer før man ændrer det password, som kunne give en uvedkommende adgang.Jonasee (24) skrev:Det er ikke så nemt vis man kun må skift en gang per. 24 timer :)
Næsten hvad som helst man kan finde på at skrive i en sikkerhedspolitik kan i nogle situationer være til skade for sikkerheden. Derfor synes jeg altid man bør stille sig selv spørgsmålet på hvilken måde en regel kan skade sikkerheden. Og når man så har gjort klart, hvad det er reglen skal beskytte imod, og hvad ulempe den medfører, er man klar til at tage stilling til hvilken af de to situationer der er den største trussel.
Hvis ikke man har fantasi til at finde en måde en regel i sikkerhedspolitikken kan udgøre et problem, så har man sandsynligvis ikke tænkt sig godt nok om.
kasperd (25) skrev:at man venter 24 timer før man ændrer det password, som kunne give en uvedkommende adgang.
call hotline
Mit 2. semester projekt arbejder faktisk med det her. Hvis I vil følge med ligger både rapport (under udarbejdelse) og kode på google code.
http://code.google.com/p/b125-keyring/
http://code.google.com/p/b125-keyring/
I det tilfælde at man skal skifte meget komplekse passwords hver måned vil jeg mene at passwordpolitikken er en større risiko end at folk skriver deres passwords ned.
Hvis man bruger lidt tid på at undervise brugerne i at lave et godt komplekst password og måske endda lærer dem hvordan man kan skrive det ned uden større problemer så kan jeg ikke lige se hvordan man mener at password skift hver 3. måned skulle være mere usikkert end skift hver måned.
Hvis man bruger lidt tid på at undervise brugerne i at lave et godt komplekst password og måske endda lærer dem hvordan man kan skrive det ned uden større problemer så kan jeg ikke lige se hvordan man mener at password skift hver 3. måned skulle være mere usikkert end skift hver måned.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.