Po co sprawdzać pocztę e-mail w haveibeenpwned zamiast regularnie zmieniać hasło bez względu na wycieki?

Pytanie:

JonathanReez

2019-01-20 01:08:40 UTC

view on stackexchange narkive permalink

Obecnie jest wiele wiadomości na temat haveibeenpwned, ale nie rozumiem, dlaczego ludzie potrzebują takiej usługi w pierwszej kolejności. Jeśli jesteś użytkownikiem dbającym o bezpieczeństwo, regularnie zmieniasz swoje hasła w każdej ważnej witrynie (bankowość, poczta e-mail, płatne usługi), a zatem wycieki nie będą miały na Ciebie wpływu. Przez „zmianę hasła” mam na myśli tworzenie losowo generowanego ciągu haseł dla każdej usługi, a nie wymuszaną zmianę haseł w środowiskach korporacyjnych.

Dlaczego więc ludzie są tak zainteresowani korzystaniem z hadibeenpwned? Dlaczego nie zastosować właściwych praktyk bezpieczeństwa, niezależnie od jakichkolwiek wycieków?

To nie jest „albo-albo”.haveibeenpwned to serwis informacyjny.Nadal musisz przestrzegać najlepszych praktyk dotyczących zabezpieczeń.

Dziesięć odpowiedzi:

H. Idden

2019-01-20 18:13:53 UTC

view on stackexchange narkive permalink

Twoje pytanie zawiera kilka fałszywych założeń:

Jeśli jesteś użytkownikiem dbającym o bezpieczeństwo, będziesz regularnie zmieniać hasła w każdej ważnej witrynie

Według mojego menedżera haseł mam ponad setki kont i większość z nich wyrządziłaby mi krzywdę, gdyby ktoś je włamał. Regularna zmiana ich wszystkich (jak co 90 dni) to ogromna praca. Dlatego zamiast tego używam silnych haseł generowanych przez menedżera haseł. Jednak niektóre usługi nadal zapisują hasła w postaci zwykłego tekstu.

i dlatego wycieki nie będą miały na Ciebie wpływu.

Załóżmy, że będę zmieniać każde hasło co 90 dni. Nadal istnieje możliwość, że przez 89 dni moje konto zostanie przejęte, a osoba atakująca ma czas na zrobienie czegokolwiek, w tym zmianę hasła. Gdy wiesz, że Twoje konto znajduje się na liście, możesz działać natychmiast.

Dlaczego nie zastosować właściwych praktyk bezpieczeństwa niezależnie od wycieków?

Zobacz poprzedni punkt.

Dlaczego więc ludzie są tak zainteresowani korzystaniem z hadibeenpwned?

Aby wiedzieć, których kont dotyczy problem i dowiedzieć się, która usługa została zhakowana / skąd pochodzą.

Mając tę wiedzę:

Mogę natychmiast zmienić hasło.
Wiem, która usługa jest mniej godna zaufania w przypadku poufnych danych, pieniędzy ... i mogę zamknąć swoją aktywność w tej usłudze.
Jeśli ta usługa ma system przesyłania wiadomości, wiem, że jestem bardziej uważny na wiadomości od „znajomych”, ponieważ konto może zostać skradzione.
Wiem, które z moich danych mogą zostać naruszone (dane w zhakowanej usłudze).

„* Aby dowiedzieć się, które konta są dotknięte problemem i dowiedzieć się, która usługa została zhakowana / skąd pochodzą. *”, Aby uzyskać więcej informacji - możesz mieć konta, o których zapomniałeś.Podobnie jak konto, które utworzyłeś na forum 15 lat temu i od tego czasu nigdy nie używasz.Alternatywnie możesz mieć konta *, o których nigdy nie wiedziałeś *.Może się tak zdarzyć, jeśli stara usługa, z której korzystałeś, zmieni właściciela i zostanie na przykład przemianowana lub połączona z inną.Z pewnością zacząłem otrzymywać biuletyny z usług, o których istnieniu nigdy nie wiedziałem, ponieważ zostało tam włączone inne konto, które miałem.Wiedza to połowa sukcesu.

Najważniejsze tutaj są części niezwiązane z hasłami.Regularna zmiana hasła pozwala mieć pewność, że Twoje konta nie są zagrożone ... ale nie daje żadnych informacji.Gdy usługa jest zagrożona, zmiana hasła może nie być jedyną czynnością, którą musisz wykonać.Możesz anulować karty bankowe, sprawdzić ostatnią aktywność konta pod kątem rzeczy, których nie pamiętasz, ostrzec znajomych, aby nie ufali wiadomościom od Ciebie, sprawdzić kopie zapasowe w chmurze pod kątem prób dodania złośliwych plików lub wielu innych rzeczy, które mogą byćniezwykle ważne.

@vlaz to doskonała uwaga - i faktycznie, jeden z moich adresów e-mail pojawił się jako przejęty w witrynie, której nie przypominam sobie, aby kiedykolwiek podawałem swój adres e-mail (chociaż mógłbym z łatwością użyć-poza).W takim przypadku nie jestem pewien, jakie działanie mógłbym podjąć * w każdym razie *.

@vlaz Z doświadczenia mogę zdecydowanie powiedzieć, że jest to powszechne w internetowych agencjach pracy / witrynach ogłoszeniowych i usługach, a biorąc pod uwagę ilość danych osobowych, które ludzie przesyłają do tych rzeczy (w CV, szablonach listów motywacyjnych itp.)Być zaniepokojonym przez.

@vlaz, jeśli utworzyłeś konto na jakimś nieznanym forum 10 lat, czy naprawdę obchodzi cię, czy zostanie skradzione?

@JonathanReez Możliwe, że w ciągu ostatnich 10 lat ludzie zaczęli używać unikalnych haseł.Na przykład, kiedy byłem nastolatkiem, tego nie robiłem.Były konta, o których istnieniu zapomniałem i które miały „moje hasło”, które wyciekły.Teraz używam unikalnych haseł, ale nadal dobrze jest wiedzieć o włamaniu do tych starożytnych kont i poznaniu „mojego hasła”.

@JonathanReez może?To zależy od tego, co ma konto.Stare hasło jest oczywiste, ale tak naprawdę problem polega na tym, że koncentrujesz się na dosłownym przykładzie, a nie na tym, o czym ono jest.Mogło to być * dowolne * konto z * dowolnymi * informacjami, których użyłeś do * czegokolwiek *.Może zawierać takie informacje, jak dane osobowe, które wpisałeś, ponieważ zostałeś poproszony.Być może dokonałeś jednorazowego zakupu, który zawiera szczegóły płatności.Aby rzucić na siebie (wstępne) pytanie - jeśli jesteś użytkownikiem świadomym bezpieczeństwa, dlaczego * nie * miałbyś być zainteresowany ograniczeniem potencjalnego wycieku informacji?

@vlaz osobiście Używam fałszywych danych osobowych w dowolnym formularzu online lub offline, który nie musi koniecznie ich znać, aby zmniejszyć to ryzyko.Ale rozumiem twój punkt widzenia.

Wszyscy o czymś zapominamy - wiele witryn używa teraz oddzielnej tabeli haseł.Jeśli mają tabelę użytkowników, mają tabelę haseł.Zmieniaj je tyle razy, ile chcesz, wszystko, co robisz, to podawanie większej liczby haseł.

they

2019-01-20 02:18:04 UTC

view on stackexchange narkive permalink

Zmiana haseł często nie jest już uważana za najlepszą praktykę.

HIBP ludzi interesuje się, ponieważ umożliwia centralizację informacji dotyczących naruszeń i ułatwia dostępny. Nie każdy jest użytkownikiem świadomym bezpieczeństwa, ale informacje są cenne dla wszystkich użytkowników, ponieważ niezależnie od praktyki dotyczącej wieku haseł, hasło powinno zostać zmienione natychmiast po stwierdzeniu naruszenia.

* Zmuszanie * ludzi do zmiany haseł nie jest już najlepszą praktyką.Robienie tego samemu jest zawsze dobrą praktyką.

Zostało to omówione wcześniej: https://security.stackexchange.com/questions/186780/how-often-should-i-change-my-passwords Ponieważ jest to dobrze określone _ „Jedynym innym powodem zmiany haseł zgodnie z harmonogramem jest przestrzeganie przestarzałych zasad, które są odporne na zmiany, takich jak wymagania PCI DSS dotyczące haseł: ** 8.2.4 Zmień hasła / hasła użytkowników co najmniej raz na 90 dni. ** Nie jest to kwestia bezpieczeństwa, ale kwestia zgodności.W obliczu regulacji, która zasadniczo ma moc prawną, zgodność niestety musi być ważniejsza niż bezpieczeństwo. ”_

Głównym powodem, dla którego zmiana haseł nie jest zalecana, jest to, że nakłada dodatkową pracę na użytkownika, a zauważono, że niż w praktyce, po prostu zachęca to większość użytkowników do zmniejszenia obciążenia pracą, ułatwiając to, co zwykle osiągają za pomocą wzorców(* hasło1 *, * hasło2 *, * hasło3 * itd.) i wybranie krótszych, łatwiejszych do zapamiętania haseł, które powodują, że hasło jest słabsze.Jeśli jesteś użytkownikiem dbającym o bezpieczeństwo, który zawsze używa menedżera haseł do generowania wystarczająco bezpiecznych haseł, częsta zmiana haseł ** zwiększy ** bezpieczeństwo Twoich kont.

@anaximander Nie zgadzam się.Częsta zmiana haseł podczas wybierania silnych haseł to głównie teatr bezpieczeństwa i niepotrzebna praca.Jeśli używasz silnych i unikalnych haseł, jedyną rzeczą, przed którą chroni Cię zmiana hasła, jest ujawnienie hasła przez tę zewnętrzną usługę.Jednak dłuższe ramy czasowe zmiany hasła (90 dni) nadal pozostawiają dużo czasu na wyrządzenie szkody, a jeśli jest to spowodowane słabościami platformy innej firmy, zmiana hasła i tak może nie pomóc.

@ConorMancone Częste zmiany hasła skracają przedział czasu, w którym złamane hasło jest przydatne dla atakującego.Zwykle występuje opóźnienie między naruszeniem a momentem, w którym dowiesz się o naruszeniu.W niektórych przypadkach naruszenia nie wyszły na jaw przez * lata *.Jeśli często zmieniasz hasła, to niezależnie od tego, jak długie jest to opóźnienie, Twoje hasło było użyteczne dla atakującego tylko przez co najwyżej kilka chwil krócej, niż wynosi Twój czas „wygaśnięcia”.

@ConorMancone Oczywiście, jeśli Twoje hasło jest silne i dlatego złamanie go zajmuje trochę czasu (zakładając prawidłowe haszowanie itp.), Wtedy czas wygaśnięcia nie musi być dużo krótszy niż przybliżony czas, jaki zajmie złamanie.Na przykład, jeśli możesz być pewien, że złamanie hasła i tym samym możliwość użycia go przez reprezentatywnego złośliwego aktora zajmie co najmniej 90 dni, to tak naprawdę wystarczy resetować hasło co 80 dni.masz pewność, że nawet jeśli dojdzie do naruszenia, a Ty o tym nie wiesz, nigdy nie użyją Twojego hasła.Częste resetowanie nic nie dodaje.

@anaximander Myślę, że o wiele bardziej wartościowe jest spojrzenie na to z punktu widzenia „modelu zagrożenia” niż formułowanie ogólnych stwierdzeń (tj. Zmienianie haseł co 90 dni).Na przykład mogę zagwarantować, że nikt nie będzie spędzał 90 dni na próbach brutalnego wymuszenia hasła, chyba że to hasło jest jedyną rzeczą stojącą między nimi a dziesiątkami tysięcy dolarów kryptowaluty.Więc na pewno, jeśli masz milionowe konto do handlu kryptowalutami online, nie krępuj się zmieniać hasła co 90 dni.Ale w przypadku 95% kont internetowych jest to tylko strata czasu.

@ConorMancone Oczywiście każde działanie związane z bezpieczeństwem należy oceniać w kontekście modelu zagrożenia, aby określić, czy wysiłek jest warty opłacenia.To powiedziawszy, przy braku jakiegokolwiek modelu zagrożenia, to pytanie po prostu zadawało pytanie, czy * istnieje * jakakolwiek korzyść z częstych zmian haseł, a odpowiedź na to brzmi: tak, jest: sprawia, że zagrożone dane zawierające skrót hasła stają się bezużyteczne dla każdego, ktonie możesz go wystarczająco szybko złamać i ogranicza narażenie na naruszenia, o których jeszcze nie wiesz.Od Ciebie zależy, czy uważasz, że to wystarczy, aby uzasadnić dodatkową pracę.

@JonathanReez Jak to?Jaka jest różnica między zmuszaniem użytkownika do zmiany hasła a regularną zmianą hasła przez użytkownika?Czy ten pierwszy jest w jakiś sposób kompromitujący, mimo że dokładnie takie samo zachowanie w drugim nie jest?

@TheGreatDuck prowadzi do haseł, takich jak „Hasło! 123”, które są umieszczane na monitorze w formie przyklejonej notatki.Drugi prowadzi do odpowiednich losowych haseł, które są bezpieczne.

@JonathanReez Jak to?Dlaczego użytkownik miałby używać mniej bezpiecznego tylko dlatego, że powiedziano mu, aby zmienił hasło, a nie robi to dobrowolnie?W obu sytuacjach użytkownik może nadal używać losowego hasła.Zapisywanie haseł na karteczce wydaje się być zupełnie odrębnym problemem i może wystąpić nawet wtedy, gdy użytkownik zdecyduje się zmienić hasło.Zwłaszcza w przypadku losowego hasła, które prawdopodobnie zapomną.

@TheGreatDuck Chociaż może to dotyczyć obu sytuacji, ponieważ ktoś może dobrowolnie zmienić hasło _i_ użyć prostej sekwencji, ludzie mają tendencję do używania prostej sekwencji lub zapisywania hasła.https://ldapwiki.com/wiki/Password%20Statistics Moim zdaniem do tej pory bez zagłębiania się w nią jest to, że typ użytkownika, który dobrowolnie zmienia hasła, często jest prawdopodobnie bardziej świadomy bezpieczeństwa i częściej nie używa prostej sekwencji lub nie piszeich hasło jest wyłączone i prawdopodobnie używają menedżera haseł ... Lub po prostu unikają konfrontacji i nadal używają kiepskich haseł ...

@TheGreatDuck Użytkownik * zmuszony * do zmiany hasła prawdopodobnie nie chciał, więc postara się, aby zadanie było tak szybkie i łatwe, jak to tylko możliwe, wybierając łatwe hasło, zwiększając liczbę (* hasło1 *, * hasło2 *,* hasło3 * itp.) lub inną sztuczkę - i większość z tych sztuczek prowadzi do złych haseł.Użytkownik, który * decyduje się * na aktualizację hasła, jest mniej skłonny do ponownego poświęcenia czasu i wysiłku, ponieważ zdecydował się to zrobić, a zatem prawdopodobnie włoży więcej wysiłku w wybranie dobrego.Jest również bardziej prawdopodobne, że będą świadomym bezpieczeństwem użytkownikiem, a tym samym częściej używają menedżera haseł.

Jeśli używasz 40-literowych losowych haseł, tak jak powinieneś, jeśli jesteś użytkownikiem świadomym bezpieczeństwa i używasz menedżerów haseł, nie ma możliwości, abyś został brutalnie wymuszony.Albo twoje hasło zostanie złamane prawie natychmiast, ponieważ nie ma w tym nic haszowania (lub używają kryptowaluty domowej roboty, które można łatwo odwracać za pomocą podstawowej kryptoanalizy), albo używają co najmniej jednej rundy niesolonego, ale silnego hasha kryptograficznego, który wystarczyłby do ochrony256-bitowe hasło (dodawanie i rozciąganie klucza jest potrzebne tylko do wzmocnienia słabych haseł).

Zmiany hasła, nawet dobrowolne, przynoszą tylko marginalne korzyści w przypadku prawie nieistniejącego scenariusza.Tak, teoretycznie jest bezpieczniejszy, ale jest mało prawdopodobne, aby był opłacalny ze względu na ilość wysiłków potrzebnych do ich wdrożenia.Na przykład nie ma znanych naruszeń haseł, w przypadku których regularne zmiany hasła zapobiegałyby uszkodzeniom.90 dni to wieczność, a cokolwiek krótszego jest niepraktyczne.

Rory Alsop

2019-01-20 04:03:00 UTC

view on stackexchange narkive permalink

Regularna zmiana haseł ma w rzeczywistości tendencję do obniżania bezpieczeństwa, ponieważ ludzie w końcu używają powtarzających się wzorców.

Zaleca się używanie silnych haseł, unikalnych dla każdej usługi i zmienianie ich tylko wtedy, gdy istnieje podejrzenie naruszenia bezpieczeństwa.

HIBP wysyła powiadomienie o włamaniu.

Aby to rozwinąć: Uważam, że aby HIBP mógł zidentyfikować, które hasło lub która usługa jest zagrożona, musisz użyć innego identyfikatora użytkownika w każdej usłudze.Nie wystarczy mieć ten sam identyfikator użytkownika, ale różne hasła w każdej usłudze.Na przykład w Onliner Spambot 711 milionów danych dotyczących naruszenia adresu, nie można znaleźć usługi ani hasła dla adresu e-mail PWN używanego jako identyfikator logowania w wielu witrynach (z różnymi hasłami dla każdego).Zgodnie z polityką HIBP nie ujawnia PW, a nawet nie podaje skrótu, który można by sprawdzić.

To nie jest tylko powtarzający się wzór.Jeśli zmienię „supersecurepassword” na „supersecurepassword1”,… 2,… 3 to bezcelowe, ale nie gorsze niż niezmienianie.Problem polega na tym, że ludzie zmieniają „supersecurepassword” na „supersecure1”, a 24 miesiące później na „super24”, ponieważ po prostu nie można im przeszkadzać, więc bezpieczne hasła są zastępowane mniej bezpiecznymi.

Prowadząc audyty haseł przez kilka lat z kilkoma tysiącami pracowników w różnych organizacjach, mogę powiedzieć, że powtarzające się wzorce są niezwykle powszechne.Większość z nich zwiększa ostatnią cyfrę.Niektóre zmieniają nazwę miesiąca lub sezonu.

@RoryAlsop Skąd wiesz, jakich haseł używa „kilka tysięcy pracowników różnych organizacji”?Nikt, a mam na myśli nikt, nie powinien mieć dostępu do tych informacji ani mieć do nich dostępu.czego mi brakuje?

@LightnessRacesinOrbit: Automatyczny test siły hasła może generować statystyki dotyczące tego, które zasady są naruszane, bez ujawniania haseł, a nawet kont, których dotyczyło.

@BenVoigt W jaki sposób takie narzędzie może wiedzieć o takich rzeczach, jak „zwiększanie ostatniej cyfry” lub „zmiana nazwy miesiąca lub sezonu”, jeśli hasła nie są przechowywane w sposób jawny?

@LightnessRacesinOrbit: To była moja pierwsza reakcja na ten pomysł.Ale kilka lat temu zwrócono mi uwagę, że te testy są wykonywane podczas procesu zmiany hasła - nowe hasło musi być jasne podczas tego procesu, ale nigdy nie musi być w ten sposób przechowywane.

@lightness - audyty siły haseł.Nie to, co sugerował Ben.Mówiąc najprościej, brutalna siła pliku SAM, a następnie raportowanie, ile było słów ze słownika, „hasła”, drużyn piłkarskich, miejsc na wakacje itp. Nie jest powiązany z kontami użytkowników, mimo że niektóre organizacje nas o to proszą - po prostu bardzo przydatny sposóbpodać statystyki

@RedGrittyBrick HIBP oferuje teraz usługę sprawdzania, czy hasła zostały złamane przez hash.To jest ich nowa usługa pwnedpasswords.

@LightnessRacesinOrbit Kiedy zmieniasz pracę lub pracujesz jako wykonawca, często napotykasz również duże międzynarodowe korporacje, które mają tak absurdalnie rygorystyczne zasady dotyczące haseł, że nauczysz się wzorców, które zagwarantują akceptację przez system od kolegów / innych kontrahentów pracujących dłużej z tą dużą korporacją.Dość powiedzieć, że te wzorce są łatwe do zapamiętania i udostępniane nie tylko przez kontrahentów, ale także pracowników wewnętrznych i tak powszechne, powiedziałbym, że 50% firm je stosujących to szacunek niski.

@RedGrittyBrick Chociaż masz rację, HIBP nie musi koniecznie powiedzieć Ci, co zostało naruszone;zależy to od charakteru naruszenia.Jeśli pojawi się plik zawierający bardzo wiele kombinacji adresu e-mail / hasła bez informacji kontekstowych, takich jak listy z kolekcji nr 1 lub listy AntiPublic, to z pewnością nie ma prawdziwego sposobu, aby dowiedzieć się, skąd to się wzięło.Jeśli jednak jest to ujawnione naruszenie lub dane zostaną odzyskane w odpowiednim kontekście, to inna historia.Na przykład HIBP może Ci powiedzieć, czy byłeś w przypadku naruszenia LinkedIn, czy też naruszenia Dropbox, z powodu tego, jak wyszły na jaw.

@Darkwing nie powinno być tajemnicą, jaki wzór hasła działa, jeśli jesteś pracownikiem.Powinieneś dokładnie wiedzieć, jakie rodzaje wymagań są stosowane, więc nie próbuj 10 razy wprowadzać niedopuszczalnego hasła, zanim ostatecznie wylądujesz na takim, które działa.

@TylerH Nie musisz mi tego mówić ^^ Chciałbym mieć przejrzysty interfejs użytkownika z rozsądnymi ograniczeniami i brakiem lub rozsądną polityką zmiany hasła, rzeczywistość, którą widziałem, jest inna.

@Darkwing Myślę, że MS jest tego winny - nie ma sposobu, aby wyświetlić wymagania dotyczące złożoności hasła AFAIK w systemie Windows podczas zmiany hasła AD / lokalnego.

@TylerH To może być, ale nigdy się o to nie potknąłem.W porównaniu z tym, co widziałem, stwardnienie rozsiane jest złotym standardem użytkowym.

Aaron

2019-01-20 06:37:01 UTC

view on stackexchange narkive permalink

Jest to przydatne, gdy Twój adres e-mail został ujawniony, ale nie jako część zestawu poświadczeń. Na przykład, miałem adres e-mail uwzględniony w naruszeniu, ale nie miałem konta w tej usłudze / produkcie, naruszenie faktycznie dotyczyło narzędzia marketingowego używanego przez usługę / produkt, z którego korzystałem używany, a mój adres e-mail został dodany do narzędzia w celach marketingowych.

Wiedząc, że mój adres e-mail został w ten sposób ujawniony, wiedziałem, że muszę uważać na zwiększoną liczbę prób spamu i phishingu.

Esa Jokinen

2019-01-20 02:03:11 UTC

view on stackexchange narkive permalink

Istnieje opcja monitorowania całych domen. Jest to bardzo przydatne, ponieważ nie wszyscy w firmie są jednakowo świadomi i nie przejmują się tak bardzo. Dzięki takiemu powiadomieniu jako administrator możesz np. wymuszaj dodatkowe zmiany haseł dla użytkowników z nowymi hasłami, które wyciekły.

Ponadto zwiększanie świadomości jest ważne samo w sobie.

+1 za „zwiększanie świadomości” korzystania z HIBP.Często sugeruję, żeby ludzie patrzyli w górę.Otwiera im oczy.

Lichtbringer

2019-01-23 00:55:25 UTC

view on stackexchange narkive permalink

Wszystkie pozostałe odpowiedzi dotyczą sprawdzonych metod. Spójrzmy jednak na pytanie facevalue: „Dlaczego ludzie nie stosują najlepszych praktyk (czymkolwiek by nie są) i zamiast tego korzystają z tej witryny”.

Największym problemem związanym z bezpieczeństwem jest czynnik ludzki. Taka jest ludzka natura. Aby poprawić bezpieczeństwo, musisz wziąć to pod uwagę.

Piszesz w pytaniu: „Świadomy bezpieczeństwa użytkownik by to zrobił”, ale potem pytasz „dlaczego ludzie są tak zainteresowani korzystaniem z hadibeenpwned?”. Dzieje się tak dlatego, że wiele osób, które są zainteresowane usługą, NIE jest świadomych bezpieczeństwa. Może są trochę świadomi, może właśnie usłyszeli na Facebooku o tej witrynie Neet.

Jeśli powiem mamie, żeby „śledziła właściwe praktyki bezpieczeństwa ”(i je wyjaśniła), nic by nie zrobiła.
Jeśli powiem mamie, żeby poszukała w tej witrynie jednego hasła / adresu e-mail, którego używa wszędzie, i pokaże jej, że jest zagrożona, prawdopodobnie przynajmniej się zmieni raz w ważnych witrynach.

Ostatecznie jest to kompromis dla użytkownika.
Gdyby nigdy nie włamał się na konto i nie odczuwał skutków, uzna to ryzyko za bardzo niskie, a koszt postępuj zgodnie z najlepszymi praktykami jako bardzo wysokie.
Sprawdzanie z drugiej strony jest bardzo niskie. Sprawdzanie tego samo w sobie zapewnia lepszą ocenę ryzyka. Jeśli jesteś zagrożony, teraz wiesz, że ryzyko dla Ciebie jest wysokie, więc jest bardziej prawdopodobne, że po odwiedzeniu witryny zastosują lepsze praktyki.

Jest to łatwiejsze i wygodniejsze, a zatem bardziej prawdopodobne stać się wirusowym. To jest coś, czym mogę się podzielić, a analfabeci z bezpieczeństwa mogą używać i czuć się dobrze, a także udostępniać. To także brama do dobrych praktyk bezpieczeństwa.

Tom

2019-01-22 15:37:07 UTC

view on stackexchange narkive permalink

Dlaczego nie zastosować właściwych praktyk bezpieczeństwa niezależnie od jakichkolwiek wycieków?

Ponieważ regularna zmiana haseł nie jest niewłaściwą praktyką w zakresie bezpieczeństwa . Jest to hack i obejście.

Właściwą praktyką w zakresie bezpieczeństwa jest zmiana hasła za każdym razem, gdy masz powody, by sądzić, że zostało naruszone. Od dziesięciu lat mam niezmienione hasła roota, ponieważ nigdy nie było powodu, by podejrzewać, że doszło do kompromisu, więc byłoby nonsensem tworzenie kosztu zmiany hasła (choćby niewielkiego) bez powodu.

Radzimy regularnie zmieniać hasła, gdy śledzenie możliwości włamania staje się trudne lub kosztowne, a regularna zmiana jest prostsza i tańsza. Zasadniczo rozumowanie jest takie: „Jeśli nie mam pojęcia o prawdopodobieństwie złamania zabezpieczeń mojego hasła, wezmę tylko średnią statystyczną i nie będę ostrożny”.

Więc kiedy faktyczne dowody - takie jak havibeenpwned - wydają się, zawsze lepiej jest używać rzeczywistych danych zamiast szacowanej heurystyki.

dodatek:

Jeśli trochę przeszukujesz, możesz znaleźć wiele publikacji opowiadających się za przeciw regularnym zmianom haseł bez żadnego powodu. Zastrzeżenie: niektóre z nich są moje. Ten nonsens może być powszechną praktyką, ale a) nie czyni go dobrą praktyką ib) nadal nie oznacza, że może utrzymać świecę w rzeczywistych danych .

Czy nie chodzi jednak o to, że ani ty, ani Troy Hunt nie wiecie o ** wszystkich ** naruszeniach bezpieczeństwa?Mówisz o „rzeczywistych dowodach”, ale sam Hunt cytuje słynne „Brak dowodów nie jest dowodem nieobecności” w swoim [FAQ] (https://haveibeenpwned.com/FAQs) i kontynuuje „tylko dlatego, że nie podano adresuNie znaleziono tutaj nie oznacza, że nie został naruszony w innym naruszeniu. "

Absolutnie.Możesz uzyskać ** pozytywne ** dowody, ale nie negatywne.Cały problem polega na tym, że witryny stron trzecich mogą zostać przejęte i nigdy się nie dowiesz, ponieważ uciszają to.Dlatego stosuję różne zasady dotyczące haseł dla moich własnych witryn i witryn podmiotów zewnętrznych.

@Tom prawdopodobnie chodzi o to, że nigdy nie możesz być całkowicie pewien, że twój komputer / hasło nie zostały zhakowane.Twoje hasło może zostać naruszone w każdej chwili.Tak więc koszt bezpieczeństwa związany z niezmiennością hasła nigdy nie wynosi 0. Brak zmiany hasła (lub rzadko) może nadal być ważną strategią, ale koszt jest nadal nieznany, nawet jeśli jest to Twoja własna maszyna.Istnieją tylko „dane faktyczne”, które wskazują, że „musisz teraz zmienić hasło”, ale żadne z nich nie wskazuje jasno, że „nie musisz zmieniać hasła”.

Tak, ale stwierdzenie, że twoje hasło może zostać teraz naruszone, graniczy z paranoją ... nie, teraz ... może teraz?co powiesz na teraz?To nie jest właściwe podejście do oceny ryzyka.

Anders

2019-01-20 15:06:47 UTC

view on stackexchange narkive permalink

Często zmiana haseł może być dobrą praktyką, jeśli używasz menedżera haseł. Jeśli nie, to zły pomysł, ponieważ nie można tak łatwo zapamiętać dobrych haseł.

Mniejszość ludzi korzysta z menedżera haseł. A nawet jeśli go używasz, podejrzewam, że nie zmieniasz tak często wszystkich swoich haseł. Są usługi, z których korzystam raz na dwa lub trzy lata. Albo że utworzyłem konto, ale mogę już nigdy go nie użyć. Czy chciałbym tam wrócić i co miesiąc zmieniać hasło?

Mam ponad 50 witryn wymienionych w moim menedżerze haseł. Zmiana tych wszystkich haseł mniej więcej co miesiąc wymagałaby po prostu dużo pracy.

„* A nawet jeśli go używasz, podejrzewam, że nie zmieniasz wszystkich haseł tak często. *” Rzeczywiście - OP wspomina tylko o „hasłach, które mają znaczenie”.Problem, który pojawia się natychmiast, to * które * konta mają znaczenie?Zakładając, że wszędzie są unikalne hasła, jesteś bezpieczny przed ponownym użyciem poświadczeń, ale nie przed informacjami, które mogą wyciec z innych usług.Każda wyciekająca informacja może być potencjalnie przydatna.Musisz więc zmienić wszystkie hasła.Ale to za dużo pracy, być może tylko NAPRAWDĘ, naprawdę ważne wymagają zmiany ... więc podążając za tym, wchodzisz do spiralnej króliczej nory.

SSight3

2019-01-21 18:02:55 UTC

view on stackexchange narkive permalink

Aby zabezpieczyć się przed oszustwami

Zauważam, że istnieje inna kwestia, której ludzie nie uwzględniali, a jedną z nich jest fałszowanie tożsamości i podszywanie się pod zagrożoną firmę, zmiana hasła nie ochroni Cię przed.

Na przykład oszuści często przechwytują informacje, które wyciekły, a następnie udają firmę, której informacje wyciekły , wykorzystując informacje, które uzyskano, aby przekonać Cię, że mają „legalny” dostęp do Twoich informacji. Dostawca usług internetowych TalkTalk często widzi, jak oszuści dzwonią, udając inżynierów usług TalkTalk, zwracając skradzione informacje jako „dowód”, że są autentyczne.

Podobnie, świadomość, którym firmom skradziono ich dane, pozwala ci wiedzieć, jakich wektorów oszuści będą próbowali użyć przeciwko tobie. Na przykład, szczegóły dotyczące Adobe zostały skradzione i jest całkiem możliwe, że oszust mógłby wysłać e-mail do osób, których konta były na Adobe, rzekomo „pilnej aktualizacji” oprogramowania Adobe, które faktycznie złośliwie pobiera i instaluje złośliwe oprogramowanie. Świadomość, że informacje wyciekły z Adobe, pozwala na podjęcie dodatkowych środków ostrożności.

Alternatywą jest sytuacja, w której ujawnione informacje dotyczą działania, którego wolisz nie ujawniać; możesz następnie podjąć rozsądne kroki, aby wyczyścić te informacje (takie jak usunięcie konta lub zmiana adresu e-mail).

Podsumowując; regularnie sprawdzałbyś, czy wiesz, co o tobie wiedzą inni ludzie (oszuści np. oszuści, oszuści tożsamości, szantażyści itp.).

W dużej mierze nie zgadzam się z tym stwierdzeniem.Jeśli chcesz zabezpieczyć się przed oszustwami dotyczącymi tożsamości, możesz kupić bardziej kompleksowe usługi i pakiety od instytucji finansowych, aby zabezpieczyć takie rzeczy, jak konta kredytowe i bankowe.

Podałem przykład podszywania się pod ISP, który nie ma nic wspólnego z oszustwami finansowymi.

Tom K.

2019-01-21 21:33:26 UTC

view on stackexchange narkive permalink

Będę podążał za trendem i nie zgadzam się z innymi odpowiedziami:
Powinieneś regularnie zmieniać swoje hasła w usłudze, której nie ufasz, jeśli chodzi o bezpieczne przetwarzanie Twoich danych.
Możesz również regularnie sprawdzać swoje hasło menedżera takich witryn i zdecyduj, czy naprawdę potrzebujesz każdej z nich. Jeśli nie: wyślij wiadomość e-mail do usługodawcy i poproś o usunięcie konta i wszystkich powiązanych danych.

Wytyczne NIST dotyczące obsługi haseł:

Weryfikatory NIE POWINNY wymagać, aby zapamiętane sekrety ^{read: passwords} były dowolnie zmieniane (np. okresowo) . Jednak weryfikatorzy MUSZĄ wymusić zmianę, jeśli istnieją dowody na złamanie zabezpieczeń osoby uwierzytelniającej .

Kolekcja nr 1 - co jest tego przyczyną za niedawny szum wokół haveibeenpwned.com i Troy Hunt - jest doskonałym przykładem publikacji dowodów na kompromis.

Dlaczego? Ponieważ nie jest to nowy włamanie .
Brian Krebs, znany ekspert ds. Bezpieczeństwa, opublikował raport, w którym stwierdza się, że wszystkie dane zawierają co najmniej dwa do trzech lat. Jego raport zawiera ponadto to zdjęcie z wiarygodnej rozmowy ze sprzedawcą. Zrzut ekranu wszystkich pozostałych „kolekcji” (od jednej do pięciu) i dwóch innych ogromnych baz danych, które są sprzedawane z oświadczeniem, że zawierają one działające dane logowania. W sumie terabajt nieprzetworzonych danych od jednego sprzedawcy.

Więc co w tym kontekście oznacza „publikacja niepubliczna”? Jeśli masz silne hasło i jest ono odpowiednio zaszyfrowane, żaden atakujący nie będzie w stanie go złamać, bez względu na to, jak długo istniał zrzut hasła. Problem polega na tym, że wiele witryn nie haszuje poprawnie Twojego hasła. I tu znowu wkracza NIST. Dostosowali swoje wytyczne dotyczące zmiany haseł , ponieważ nie miało to sensu w odniesieniu do części wytycznych, która dotyczyła haszowania haseł i przechowywania skrótów .

Weryfikatorzy MUSZĄ przechowywać zapamiętane sekrety w formie odpornej na ataki offline. Zapamiętane sekrety MUSZĄ być zaszyfrowane i zaszyfrowane za pomocą odpowiedniej jednokierunkowej funkcji wyprowadzania klucza.

Co to wszystko oznacza?
Wniosek:

Przesłanka 1: Jeśli usługa bezpiecznie przechowuje skrót mojego hasła, arbitralne daty wygaśnięcia hasła nie mają większego sensu.
Przesłanka 2: Hacki zdarzają się cały czas, tylko ułamek zostaje zauważony i / lub publicznie ujawnione.
Jeśli jednak usługa nie szyfruje poprawnie Twojego hasła - a wiele usług tego nie robi - daty ważności haseł mają sens.
Skąd mam wiedzieć, które sklepy usługowe moje dane uwierzytelniające bezpiecznie? Niektóre certyfikaty zawierają pewne informacje na ten temat. Ale nawet firmy, które z zewnątrz wydają się bardzo profesjonalne, zawodzą. Małe firmy czasami radzą sobie bardzo dobrze. Trudno to stwierdzić.
Jeśli włamania zdarzają się cały czas, często dochodzi do włamań do haseł. Jak widzieliśmy, tylko część zhakowanych baz danych haseł można przeszukiwać na hadibeenpwned.
Dlatego regularnie zmieniaj hasło w witrynach, którym nie ufasz. Ponownie z zastrzeżeniem, że powinieneś używać menedżera haseł, aby uniknąć ponownego użycia hasła i, jeśli to możliwe, uwierzytelniania dwuskładnikowego lub uwierzytelniania wieloskładnikowego.

Daty wygaśnięcia słabo zabezpieczonych poświadczeń mają sens tylko w celu ochrony innych kont przed wypychaniem poświadczeń.A jeśli używasz unikalnych i złożonych haseł w połączeniu ze skarbcem haseł, upychanie danych uwierzytelniających jest znacznie mniej prawdopodobne.

Wypychanie referencji nie jest tutaj ryzykiem.Jest to a) wyciek danych z konta, którego dotyczy luka, oraz b) możliwość przejścia osoby atakującej z jednego konta na drugie za pomocą inżynierii społecznej.

ⓘ

To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 4.0, w ramach której jest rozpowszechniana.

o nas - informacje prawne