密碼重置可能會讓最終用戶感到沮喪。沒有人喜歡被「更改密碼的時間」通知打斷 - 當他們創建的新密碼被組織的密碼策略拒絕時,他們更不喜歡這種情況。 IT 團隊也面臨同樣的痛苦,透過服務台票證和支援電話重設密碼已成為日常負擔。儘管如此,人們普遍認為所有密碼都應該在一段時間後過期。
為什麼會這樣呢?您是否需要密碼過期?探索過期存在的原因以及為什麼將密碼設定為「永不過期」可能會減少一些麻煩,但並不是網路安全的最佳主意。
為什麼我們的密碼會過期?
傳統的 90 天密碼重設策略源自於防止暴力攻擊的需要。組織通常將密碼儲存為雜湊值,這是使用加密雜湊函數 (CHF) 建立的實際密碼的加擾版本。當使用者輸入密碼時,系統會將密碼進行雜湊處理並與儲存的雜湊值進行比較。試圖破解這些密碼的攻擊者必須透過相同的雜湊演算法運行潛在密碼並比較結果來猜測正確的密碼。對於攻擊者來說,透過加鹽等技術,該過程可能會進一步複雜化,在散列之前將隨機字串添加到密碼中。
暴力攻擊取決於幾個因素,包括攻擊者可用的運算能力和密碼的強度。 90 天的重置期被認為是一種平衡的方法,可以超越暴力攻擊,同時又不會因過於頻繁的更改而給用戶帶來負擔。然而,科技的進步減少了破解密碼所需的時間,促使人們重新評估這項政策。儘管如此,90 天的有效期仍然是許多合規標準(包括 PCI)的建議。
為什麼有些組織取消了有效期限?
反對定期密碼過期的主要論點之一是它可能導致弱密碼的重複使用。使用者經常對其現有密碼進行輕微更改,例如更改“Password1!”到“密碼2!”。這種做法破壞了密碼變更的安全優勢。但這裡真正的問題不是重置密碼的行為,而是組織的政策首先允許弱密碼。
組織選擇「永不過期」密碼的更大原因是減輕 IT 和服務台的負擔。 IT 服務台重置密碼的成本和負擔是巨大的。Gartner 估計,20-50%的 IT 幫助台呼叫與密碼重設有關,根據 Forrester 的數據,每次重設的人工成本約為 70 美元。這加起來尤其是當用戶在被迫創建新密碼後經常忘記密碼時。
因此,一些組織可能會試圖強迫最終用戶創建一個非常強的密碼,然後將密碼設為“永不過期”,以減輕 IT 負擔並重置成本。
「永不過期」密碼有哪些風險?
擁有一個強密碼並且從不更改它可能會給人一種錯誤的安全感。強密碼並不能免於威脅;它可能容易受到網路釣魚、資料外洩或其他類型的網路事件的影響,而用戶卻沒有意識到。Specops 密碼外洩報告發現,83% 的洩漏密碼符合長度和複雜性的監管標準。
組織可能有強大的密碼策略,每個最終用戶都被迫創建一個能夠抵抗暴力攻擊的強密碼。但是,如果員工決定在 Facebook、Netflix 和所有其他個人應用程式中重複使用其密碼,會發生什麼情況?無論組織採取何種內部安全措施,密碼外洩的風險都會增加很多。LastPass 的一項調查發現,91% 的最終用戶了解密碼重複使用的風險,但 59% 的最終用戶還是這麼做了。
「永不過期」密碼的另一個風險是攻擊者可能會長期使用一組受損的憑證。 Ponemon Institute 發現組織通常需要大約207 天才能識別違規行為。雖然強制密碼過期在這裡可能是有益的,但攻擊者很可能在密碼過期時已經實現了他們的目標。因此,NIST 和其他指南建議組織只有在擁有識別受損帳戶的機制時才將密碼設定為永不過期。
https://thehackernews.com/2024/09/why-never-expire-passwords-can-be-risky.html
Picture Source:
pixabay