强迫用户更改密码有用吗？

Question

在许多地方，有一项政策强迫用户每隔几个月更改一次密码。这里的逻辑是，即使密码以某种方式泄露，它也只能在相对较短的时间内被滥用。这样，你现在把密码扔到垃圾箱里的便条，五年内就不会来追捕你了。

但这一政策缺少的是人民因素。当许多人被迫更改密码时，通常所做的就是选择一个新密码，而不是离原来的密码太远。因为每个月都很难记住新密码。例如

foo1bar
foo2bar
foo3bar

差不多吧。因此，攻击者只要有最小的感知，就会激活john-the-ripper或等效程序，并在短时间内找到您的密码。见鬼，给定旧密码的新密码的熵通常很低，所以如果您连续输入错误的密码三次，您甚至可以绕过密码系统提醒管理员。您可能会在10次试验中找到新的攻击，并且考虑到用户每天登录一次，攻击将在一个月内找到。

因此，我想问的是，强制用户偶尔更改密码的政策是否会提供比成本更高的安全性呢？

Answer 1

正如您注意到的，当您强迫用户做某件事时，他们并不喜欢它，因为这会使他们的事情变得更加困难。用户很少关注安全性；这不是他们的工作，相反，他们的工作意味着通过安全部门提出的循环。因此，他们的反应合乎逻辑，采取措施，使他们的生活更容易。

用户采用的经典对策包括：

• 简单地从上一个密码派生出新密码(但有密码管理接口，试图防止这样的情况：“新密码与旧密码太相似了”)；
• 循环遍历密码列表，通常减少到两个密码；每当请求更改密码时，用户只需交换他的“正常”和“备用”密码(为了防止这种情况，密码管理系统必须记住以前的密码，这本身就是一种安全隐患)；
• 有史以来最喜欢把密码写在便条上(巧妙地隐藏在键盘下)；
• 从“自然列表”中获取密码，例如足球队中的现有球员(进行自动检测并不容易，但拥有半个神经元的人类攻击者将很容易处理这一问题)。

因此，通过定期更改密码来提高安全性充其量是值得怀疑的。它的主要优点是避免建立一个本地的“传统密码”，员工之间的沟通多年，而以前的雇员继续记住。

从理论上讲，定期更改密码可能会让用户感觉到“正在发生一些值得保护的事情”，并促使他们对密码更加谨慎；实际上，我从未见过这样的情况。

Answer 2

其中一个方面还没有提到，在我看来是最重要的一个-用户的意识。我可以从经验中告诉您，每当您可以给用户演示一个错误密码的影响，并让他们知道它，他们将开始重视和理解它。意识正是我们这些安全人员理解问题的原因。我们知道影响，普通用户不知道。

在研讨会上向他们展示密码，当他们看到它时，他们就会破门而入，这样他们就能理解密码策略的根本原因。