Как часто вы меняете свой пароль администратора / root?

У меня плохая привычка редко менять пароль администратора в моем домене. Пароли, которые я использую, довольно хороши, но я хочу быть более последовательным в этом.

Как вы думаете, это хорошая частота? Возможно каждые 6 месяцев?

Давайте сделаем быстрый расчет (и на мгновение забудем лучшие практики):

Предположим, что атакующий взломает вашу систему на шесть месяцев. Предположим также, что пароли выбираются случайным образом из набора символов размером 62.

Сценарий 1: Вы используете 9-символьный пароль на все шесть месяцев.

Сценарий 2. Вы используете 9-символьный пароль в течение первых трех месяцев и другой 9-символьный пароль для остальных трех месяцев.

Сценарий 3: Вы используете 10-символьный пароль на все шесть месяцев.

В Сценарии 1 злоумышленник грубой силы взламывает ваш аккаунт со 100% уверенностью, если он может сделать 62 ^ 9 попыток за это время.

В Сценарии 2 , если он может делать только (62 ^ 9) / 2 попытки за половину времени (три месяца), он взломает аккаунт с 50% уверенностью. Во втором тайме он получит еще один шанс с 50% уверенностью. По статистике, он взломает аккаунт с вероятностью 75%.

В Сценарии 3 у него будет 62 ^ 9 попыток за все шесть месяцев. Но есть 62 ^ 10 возможностей. Так что он взломает аккаунт только с уверенностью 1/62, то есть около 1,6%.

Поэтому, если мы не учтем все другие факторы (например, украденные пароли и другие виды атак), рекомендуется выбирать более длинные пароли, чем использовать более короткие (или более простые) пароли, даже если они меняются чаще. Тем более, что в Сценарии 3 нужно запомнить только 10 символов, а в Сценарии 2 - 18 символов.

Мы в основном Windows, и у каждого из администраторов есть своя учетная запись администратора домена, и мы просто доверяем друг другу, чтобы иметь надежные пароли и менять их время от времени. Я уверен, что у всех есть надежные пароли, потому что мы используем давление сверстников, чтобы гарантировать, что они длинные и содержат цифры и / или символы, но мы не меняем их достаточно часто. \

ДОБАВЛЕНО: К настоящему времени большинство людей, вероятно, слышали это, но на всякий случай. Эксперт по шифрованию и безопасности Брюс Шнайер говорит, что вы должны иметь надежные пароли и записывать их.

Хотя теоретически было бы гораздо лучше часто менять пароли, фактор «давайте напишем, что после публикации» увеличивается экспоненциально по мере сокращения срока действия.

Если это только для частного использования, почему бы не использовать аутентификацию с открытым ключом и иметь только хороший PW для вашей связки ключей?

Вы на самом деле говорите об учетной записи администратора для домена (SID: S-1-5-21domain-500), или вы говорите об учетной записи администратора, которую вы создали для себя, чтобы вы могли получить полезные журналы о том, кто что делает?

Обычно я настраиваю учетную запись администратора на длинный (более 20 символов) пароль, сохраняю пароль в безопасном месте и никогда не использую эту учетную запись. Я обычно только меняю этот пароль каждый год или около того. В нашей сети также есть системы блокировки, которые должны предотвращать очень эффективные атаки с использованием грубой силы. Поскольку я никогда не использую пароль для выполнения повседневных задач, вероятный перехват его почти не существует.

Если вы говорите о моем личном аккаунте, которому я предоставил права администратора, я склонен менять его примерно каждые 6 месяцев. Я также склонен использовать аутентификацию на основе ключей всякий раз, когда это возможно, поэтому мой пароль очень редко передается в любом месте. Я также обычно не работаю с тем, что, по моему мнению, большинство людей считают системами высокого риска.

Независимо от того, какие сложные пароли вы можете установить. Рекомендуется менять пароль каждые 30–42 дня. 6 месяцев слишком старый пароль. Всегда должна быть реализована хорошая политика паролей, чтобы оставаться в безопасности :-)

Обычно я сбрасываю пароли root только после ухода сотрудника ... но призываю пользователей с доступом sudo менять свои каждые 90 дней.