[an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive] (none) [an error occurred while processing this directive] [an error occurred while processing this directive] [an error occurred while processing this directive][an error occurred while processing this directive]
 
[an error occurred while processing this directive] [an error occurred while processing this directive]
Skåne Sjælland Linux User Group - http://www.sslug.dk Home   Subscribe   Mail Archive   Forum   Calendar   Search
MhonArc Date: [Date Prev] [Date Index] [Date Next]   Thread: [Date Prev] [Thread Index] [Date Next]   MhonArc
 

Re: [SIKKERHED] Nye bruger-passwords hver 3'e måned...




Preben Mikael Bohn wrote:


undskyld, men du viser at du ikke har forstået ideen med kodeord ...



Undskyld, men du viser at du ikke har læst mine indlæg...




Når man skifter jævnligt gør man det sværere at gætte



Hvorfor tror du det? Hvis ens brugere ved at de skal skifte jævnligt, vil de muligvis vælge et kodeord der er nemt, og som kan ændres nemt (f.eks. minhund2004, minhund2005, etc). Når jeg skal lave mig selv et kodeord gør jeg det ved at generere en tilfældig række af karakterer; når bare man bruger det tilpas mange gange, kan man huske det, og det er så meget bedre end minhund2003 at man ikke behøver at være bange for at det bliver brute-forced.



Brugerers uvidenhed og/eller ligegyldighed med henblik på sikkerhed er helt sikkert et stort problem. Men det er også grunden til at man bør indføre en sikkerhedspolitik i det hele taget. En fornuftig sikkerhedspolitik vil have krav til kodeordet, f.eks. skal det indeholde mindst 8 tegn, mindst 1 stort bogstav og 1 tegn. Desuden bør der være krav om at et nyt kodeord ikke må ligne det gamle (Dette kan forresten nemt lade sig gøre idet at man indtaster sit gamle kodeord inden man laver et nyt). Jeg ved af personlig erfaring hvor besværligt det er, jeg arbejder i IBM og har nok 15+ kodeord til forskellige systemer, alle med forskellige krav. Alligevel er det en nødvendighed idet et kodeord ofte er den eneste barriere mod uønsket adgang.
I et system hvor der ikke blive ændret på kodeord giver man en angriber al den tid han skal bruge for at bryde ind i et system med bruteforce. Ydermere er det et problem at hvis en angriber har skaffet sig adgang til et kodeord, vil han beholde sin adgang idet kodeordet ikke bliver ændret.


og skulle en
person få fat på koden
vil den kun kunne bruges i en kortere periode.



Hvis en person får fat i koden, har han/hun sandsynligvis også mulighed for at kunne skifte den (men det afhænger jo af mange ting).



Hvis vi går ud fra at en angriber ønsker at forblive uopdaget (og dermed beholde sin adgang) vil han nok ikke skifte kodeordet, da den rigtige bruger vil klage til administratoren som derved vil opdage at der er noget galt.

Man kan ligeledes lukke folk automatisk ude hvis de ikke har skiftet
kodeordet i
eksempelvis 120 dage - da det typisk vil være inaktive brugere.



Der vil typisk være andre måder at finde ud af om de er aktive på end ved at se om de skifter password, så det argument er egentligt lidt irrelevant.



Ovenstående er meget kort skrevet og jeg bliver en anelse fortørnet når
folk
sådan uden videre gør sig til talsmand for at GOD sikkerhed skulle være
noget
makværk!



Jeg bliver en smule fortørnet over at folk TROR at blot fordi de benytter en sikkerheds-politik, så er det den eneste rigtige. No offense. :-)



Ønsker man et system med flere brugere og adgangsbegrænsning er en sikkerhedspolitik faktisk det eneste rigtige. Hvilken sikkerhedspolitik, hvad den omfatter og hvor begrænsende den er kommer så helt an på systemets behov. En bank har f.eks. behov for en meget streng politik, hvor en privatpersons hjemmenetværk har råd til en noget løsere politik, de fleste har nok ikke defineret nogen.

Preben: Det KUNNE være resten af verden vidste noget om sikkerhed, som
du
ikke gør endnu ;-)



Har jeg sagt andet??? Det er da et utroligt negativt ladet indlæg du kommer med, jeg undskylder med det samme at mit måske også virker sådan, men læs lige mit oprindelige indlæg: "Er der nogen der kender referencer til artikler der underbygger/modsiger den påstand?"

Du har ikke givet referencer for dine påstande, og du undlader helt
åbenlyse ting (gule lapper, nemme passwords, etc) fra din "analyse", det
er ikke specielt seriøst...



NIST udgav i 1985 Federal information Processing Standards (FIPS) 112 om Password Usage hvor de råder til at kodeord skal have en levetid på max 1 år.
Pfleeger & Pfleeger: Security in Computing, 3rd Ed. Nævner f.eks. at "Some of the simplest controls, such as frequent changes of passwords, can be achieved at essentially no cost but with tremendous effect."
En søgning på Security Policies på google vil give et utal af eksempler der viser at det er den accepterede måde at håndtere password.


Bortset fra det er det korrekt at det ikke empirisk er blevet påvist at det hjælper at skifte kodeord, men det er blevet vist, at bliver det ikke gjort vil kodeord først blive skiftet efter de er blevet brudt.

Dernæst kan man diskutere behovet for sikring af kodeord og adgange
skal det være skift efter 30/60/90/180 dage



Præcis: Hvorfor 30 frem for 60? Hvorfor 180 frem for 60? Hvorfor aldrig frem for 90? Hvor er analysen?

Med venlig hilsen Preben



I et flerbruger system er en sikkerhedspolitik fornuftigt for at holde sikkerheden på et tilpas højt niveau. Hvilket niveau man ønsker kommer så helt an på hvilket system man har. Så om du vil beholde dit password altid eller bare skifte det en gang om året er op dig selv at bedømme.

Venlig hilsen
Søren
sslug@sslug


 
Home   Subscribe   Mail Archive   Index   Calendar   Search

 
 
Questions about the web-pages to <www_admin>. Last modified 2005-08-10, 20:47 CEST [an error occurred while processing this directive]
This page is maintained by [an error occurred while processing this directive]MHonArc [an error occurred while processing this directive] # [an error occurred while processing this directive] *