Question:
Comment attendre 24 heures pour changer à nouveau le mot de passe peut-il être sécurisé?
ZN13
2017-04-03 14:36:26 UTC
view on stackexchange narkive permalink

J'ai donc réussi à changer mon mot de passe sur un service par le "mauvais" mot de passe, pour simplifier, disons simplement que je l'ai changé en un mot de passe non sécurisé.

Maintenant, je voulais le changer en un mot de passe plus mot de passe sécurisé mais à la place j'ai eu un joli message d'erreur:

Le mot de passe que vous avez entré ne répond pas aux exigences de sécurité minimales.

Ce qui était intéressant, compte tenu ce nouveau mot de passe utilisait plus de lettres, plus de chiffres et plus de caractères spéciaux que le dernier mot de passe.

J'ai fait des recherches et j'ai découvert que le service que j'utilise a une règle de sécurité où vous devez attendre 24 heures avant de modifier à nouveau le mot de passe.

J'ai demandé à mon fournisseur s'il pouvait faire le changement dans la réponse acceptée de ce lien, mais il a dit qu'il ne pouvait pas le faire et que le Une attente de 24 heures était "pour des raisons de sécurité".

Ce qui m'amène à ma question.

Comment l'attente de 24 heures pour changer à nouveau le mot de passe peut-elle être sécurisée? Quels sont les avantages / inconvénients de faire attendre un utilisateur avant de pouvoir modifier à nouveau son mot de passe?

En général, je suis d'accord, cela semble stupide.Mais chaque mesure de sécurité doit être une réponse à un modèle de menace spécifique, alors peut-être qu'ils ont des menaces spécifiques posées par des personnes ou des attaquants qui changent plus souvent leur mot de passe.Plus probablement, ils ont des efforts administratifs et non automatisés lorsque vous modifiez un mot de passe et ne * veulent * pas changer.Encore plus probable, c'est une mauvaise pratique qui est en quelque sorte "historiquement prouvée !!!!!".Voir la réponse à https://security.stackexchange.com/questions/139594/why-do-the-large-majority-of-big-organizations-have-known-bad-password-policie/139602#139602
Cela ne vaut rien que le fournisseur de services ait pu mettre à jour sa politique de mot de passe après avoir défini votre mot de passe d'origine.J'ai été inscrit sur de nombreux sites qui ne me permettraient plus d'utiliser le mot de passe que j'utiliserais actuellement simplement parce que ses 6 symboles minuscules.
«« Vous ne pouvez changer le mot de passe qu'une fois toutes les 24 heures »« est une affaire pour «Les utilisateurs ne dérangeront (espérons-le) notre service d'assistance qu'une fois par jour»
Je pense que cela empêche quelqu'un de le changer pendant que vous êtes au déjeuner, de faire une tonne de mauvaises choses et de le changer avant que vous ne reveniez plus sage.
@dandavis, vous devez soumettre votre réponse sous forme de réponse complète ci-dessous afin que nous puissions voter.C'est le seul scénario non administratif et non lié à l'utilisateur fourni ici jusqu'à présent, et un scénario très plausible à cela.
@dandavis: Mais ce scénario les oblige à connaître votre mot de passe d'origine, afin qu'ils n'aient pas du tout besoin de le changer.
@user2357112: Je pensais que cela empêcherait certaines notifications / confirmations d'être poussées, mais ils verraient probablement d'autres erreurs concernant la déconnexion, donc vous avez raison, ce n'est pas une bonne justification.
Chaque fois que vous êtes limité par une période d'attente de 24 heures, un ordinateur central ou un idiot est impliqué quelque part dans la pile.
Dans les organisations pour lesquelles j'ai travaillé, c'était pour empêcher les gens de contourner les exigences d'historique des mots de passe.Si vous ne pouvez pas répéter vos 20 derniers mots de passe, les gens réinitialiseraient apparemment leurs mots de passe encore et encore en passant par 20 itérations, puis ils pourraient le redéfinir sur leur mot de passe * préféré *.
@music2myear La solution simple à cela est de rendre l'historique des mots de passe basé sur le temps et non sur les itérations.c'est-à-dire "Vous ne pouvez réutiliser aucun mot de passe des 6 derniers mois" plutôt que "Vous ne pouvez réutiliser aucun de vos 20 derniers mots de passe".
@dandavis quel avantage un attaquant tire-t-il du changement de mot de passe en premier lieu?Si je connais déjà le mot de passe d'origine, j'y ai déjà accès.Si j'essaie d'éviter la détection, changer le mot de passe nuit à mes efforts (et s'ils essaient de se connecter pendant, disons un peu ennuyeux de conversation à l'heure du déjeuner?) Le seul avantage que je vois à changer le mot de passe est si mon plan diaboliqueêtre plus blessé en étant interrompu que détecté (et éviter la détection n'est qu'un objectif secondaire).
Cinq réponses:
Serge Ballesta
2017-04-03 15:10:37 UTC
view on stackexchange narkive permalink

En soi, la règle de n'autoriser qu'un seul changement de mot de passe par jour n'ajoute aucune sécurité. Mais il vient souvent en plus d'une autre règle qui dit que le nouveau mot de passe doit être différent des n (généralement 2 ou 3) précédents.

La règle du changement par jour est une tentative d'éviter ce trivial perversion:

  • un utilisateur doit changer son mot de passe car il a atteint sa limite de temps
  • il le change en un nouveau mot de passe
  • il répète le changer immédiatement le nombre de mots de passe enregistrés moins un
  • il le remet immédiatement à l'original => hourra, toujours le même mot de passe qui est clairement ce que la première règle essayait d'empêcher ...

Ok, la règle pourrait être que changer le mot de passe plusieurs fois en une seule journée ne roule pas sur la dernière liste de mots de passe. Mais malheureusement, le premier est intégré dans de nombreux systèmes alors que le second ne l'est pas ...

En d'autres termes, il ne s'agit que d'une tentative pour forcer les utilisateurs non coopératifs à changer leur mot de passe en temps opportun.

Juste une analyse probabiliste triviale après des commentaires disant que permettre aux utilisateurs de ne jamais changer leur mot de passe n'est pas un problème de sécurité. Disons que vous avez un utilisateur assez sérieux et que le risque que son mot de passe soit compromis en un jour est de 1%. En supposant environ 20 jours de travail par mois, le risque d'être compromis dans un quart est d'environ 50% (1- (1- 1/100) ^ 60)). Et après un an (200 jours de travail) nous atteignons 87%! Ok, 1% peut être élevé, et commencez simplement à 0,1% par jour, seulement un sur 1000, assez négligeable n'est-ce pas? Mais après 1 an (200 jours de travail), le risque de début compromis est de près de 20% (18% pour être honnête). Si c'est le mot de passe pour les photos de vacances, je m'en fiche, mais pour quelque chose de plus important, cela compte.

Cela signifie que l'essentiel est d ' éduquer les utilisateurs et de leur faire accepter les règles, car nous savons tous que les règles peuvent facilement être contournées, et que si un utilisateur n'est pas d'accord avec elles, ne sera pas coopératif. Mais demander aux utilisateurs de changer régulièrement leur mot de passe est une règle de sécurité de base, car les mots de passe peuvent être compromis sans que l'utilisateur s'en aperçoive, et le seul moyen d'atténuation est de changer le mot de passe (probablement compromis).

Juste une petite mise en garde: obliger les utilisateurs à changer de mot de passe sans raison n'ajoute aucune sécurité.
@Agent_L:, il est admis que plus longtemps un mot de passe est utilisé, plus il y a de risques qu'il soit compromis, car par exemple un collègue vous écoute volontairement ou non.Ou en le tapant dans une mauvaise invite et en le faisant envoyer à une application et y être connecté.Ou...
Non, en fait, ce sont les mêmes risques présents depuis le jour 0. Il n'y a que plus ** d'exposition ** au même risque.En revanche, trop de contraintes obligent les utilisateurs à inventer des algorithmes très simples pour s'en souvenir, comme Password1, Password2, Password3 ou 1janvier, 2 février, 3 mars, donc les risques d'exposition répétée sont à peine atténués, mais la complexité est perdue.
@AgapwIesu: L'utilisateur peut toujours inventer un nouvel algorithme de changement trivial que les règles ne connaissent pas, et ils ** le feront **.Les politiques d'expiration des mots de passe sont tout simplement extrêmement nuisibles.
Les commentaires ne sont pas destinés à une discussion approfondie;cette conversation a été [déplacée vers le chat] (http://chat.stackexchange.com/rooms/56528/discussion-on-answer-by-serge-ballesta-how-can-waiting-24-hours-to-change-le-pa).
Notez que cette politique est facilement appliquée sans délai: se souvenir d'une vingtaine de derniers mots de passe rend cette tactique assez peu pratique.
@DmitryGrigoryev: vous n'avez pas à vous en souvenir, prenez simplement 20 mots différents dans votre journal préféré, utilisez-en un à la fois, puis entrez à nouveau votre mot de passe initial.Si aucun retard n'est impliqué, cela devrait être fait en quelques minutes.
@SergeBallesta Si l'utilisateur est assez têtu pour réinitialiser son mot de passe 20 fois de suite, essayer de le forcer à s'améliorer semble désespéré.
Le point @Agent_L's ne semble pas controversé;il y a de bonnes raisons de forcer un changement de mot de passe, mais si elles ne s'appliquent pas à votre application, ne le faites pas sans raison.
@serge-ballesta Votre analyse probabiliste ne prouve pas que le changement de mot de passe réduit régulièrement le risque de compromission.
@A.Hersean: Vous avez raison.Cela prouve simplement qu'un mot de passe qui ne change pas sera compromis et que l'attaquant pourra l'utiliser depuis ce moment.La modification du mot de passe raccourcit simplement la fenêtre d'utilisation du mot de passe compromis par l'attaquant.
Un attaquant a-t-il vraiment besoin de 6 mois pour exploiter un mot de passe?Cette «solution» de forcer les utilisateurs à changer de mot de passe ne résout aucun problème de sécurité.
@A.Hersean Le seul système sécurisé est un système sans clavier, sans écran, sans connexion réseau, sans utilisateur et éteint dans un coffre-fort physique.Tout ce qui reste n'est que l'analyse et l'atténuation des risques ...
Le calcul de votre exemple ne fonctionne pas.Étant donné que la probabilité de compromis est la même le jour 1 que le jour 30, changer votre mot de passe chaque jour entraînera les mêmes 18% de chances de compromis.Le seul avantage que cela a est de limiter la fenêtre utile dans laquelle un mot de passe pourrait être utilisé par les méchants.
@Ukko: Les maths disent qu'après un an, le risque d'occurrence d'une compromission de mot de passe n'est plus négligeable.Il n'a pas été modifié au cours de la période, le risque de compromission du mot de passe actuel est de cette valeur et continuera d'augmenter.Si le mot de passe a été changé tous les mois, le risque que le mot de passe actuel soit compromis est beaucoup plus faible et il tombe à 0 après chaque réinitialisation.Je ne m'inquiète pas pour le mot de passe compromis, car ils ne sont plus utilisés.Je suis d'accord avec vous sur le seul avantage, mais pour moi, cet avantage compte.
Un site ou un système ne peut pas ne pas savoir quels autres mots de passe vous pouvez utiliser sur d'autres systèmes / sites, il ne peut donc pas contrôler s'ils sont différents ou non.Mais il est recommandé d'utiliser des mots de passe différents pour différents (classes de) sites ou systèmes.Les coffres-forts de mots de passe comme Keepass peuvent vous aider ici ...
@Peter: mon seul objectif est de dire qu'un mot de passe ne changeant jamais utilisé quotidiennement est un mot de passe compromis en quelques mois ou quelques années seulement.Une analyse psychologique de la façon dont l'utilisateur occasionnel gère ses mots de passe va bien au-delà de cette réponse et de mes capacités ... Et non mes mots de passe ne sont pas dérivés de cette façon.
@Peter: Est-ce plus clair maintenant?
@SergeBallesta C'est plus clair.Je supprimerai mes commentaires maintenant
Si le risque que son mot de passe soit compromis en un jour est de 1%, alors quand il change son mot de passe (en supposant que le nouveau mot de passe soit d'entropie comparable), le nouveau mot de passe a également le même risque d'être compromis, donc le risque à long terme estla même chose que si le mot de passe n'avait jamais changé.La seule chose qui oblige à changer de mot de passe tous les quelques mois est de limiter le temps pendant lequel l'attaquant peut utiliser le mot de passe avant qu'il ne soit changé.S'il peut faire ses dégâts rapidement, cela ne fera même aucune différence pratique.
user371366
2017-04-04 13:05:36 UTC
view on stackexchange narkive permalink

D'autres réponses ont couvert les avantages possibles de la sécurité, mais un inconvénient majeur se présente à moi: si un attaquant prend le contrôle d'un compte et modifie le mot de passe, il se voit garantir une fenêtre d'accès minimale de 24 heures, pendant laquelle l'utilisateur légitime ne peut pas regagner accéder à leur compte et verrouiller l'attaquant.

Pire encore, en changeant le mot de passe toutes les 24 heures, ils peuvent continuer à maintenir l'accès indéfiniment, à moins que l'utilisateur ne soit très chanceux avec son timing.

C'est un peu naïf.Lorsque l'utilisateur se rend compte que son compte est compromis, il appelle simplement l'assistance pour que le compte soit verrouillé.
@DmitryGrigoryev Contacter le support client pour verrouiller un compte prend beaucoup plus de temps que le repos du mot de passe pour reprendre le contrôle.Et selon le fournisseur, ils auront besoin des informations du compte que l'attaquant peut modifier, ce qui rendra plus difficile la reprise du contrôle.
@JoeW Si un support client ne parvient pas à verrouiller un compte de compte compromis sous 24 heures, il ne sert à rien.Et si l'attaquant peut modifier les informations du compte, il s'assurera qu'un utilisateur légitime ne pourra pas simplement réinitialiser le mot de passe et reprendre le contrôle.
@DmitryGrigoryev Moins de 24 heures?Pourquoi faut-il plus de temps qu'un appel téléphonique pour verrouiller un compte?Le fait est qu'un client devrait être en mesure de réinitialiser le mot de passe et de reprendre le contrôle de son compte par lui-même et plus rapidement d'avoir à appeler le support client pour obtenir de l'aide.Devoir s'asseoir au téléphone et attendre 30 minutes à quelques heures pour reprendre le contrôle du compte n'est pas bon lorsque l'attaquant pourrait causer des dommages qui pourraient prendre beaucoup de temps et d'efforts à annuler.
@JoeW Cela ne devrait pas;c'est ce que j'essaye de dire aux dn3s.
Absurdité.Si l'attaquant modifie le mot de passe, l'utilisateur légitime ne peut pas retrouver l'accès par lui-même dans un million d'années, car il n'a pas le nouveau mot de passe.Dans tous les cas, l'attaquant a un accès indéfini, jusqu'à ce que _admin_ change le mot de passe ou verrouille le compte.
Le support client n'est souvent ouvert qu'à certaines heures.Que faire si je découvre que le compte a été compromis au cours du week-end?Et si je le découvre le soir après les heures de travail?De plus, changer le mot de passe de manière préventive en cas de compromis est parfois utile.Que faire si je * soupçonne * que le mot de passe / compte a peut-être été compromis, mais que je ne suis pas certain?Il est assez facile de changer le mot de passe au cas où, mais un appel au service client (et attendre au téléphone dans une file d'attente pour joindre une personne en direct) est une barre plus haute à surmonter.
@DmitryGrigoryev Une chose dont je serais curieux est de savoir si même le personnel de support de bas niveau serait en mesure de remplacer la fenêtre;le libellé de la question et la réponse liée suggèrent qu'une certaine escalade peut être nécessaire avant de joindre une personne habilitée à le faire.
Pour moi, les commentaires sur l'appel au support me rappellent qu'il n'y a pas de réponse unique et que le scénario que j'ai décrit n'est pas universellement applicable.Certaines organisations auront une petite base d'utilisateurs ou des budgets de support importants, où un appel de support et la possibilité de documenter la violation peuvent être préférés.D'autres doivent se concentrer sur la réduction de la charge d'appui.Certains modèles de menace considéreront les violations comme exceptionnelles et mettront l'accent sur la prévention, tandis que d'autres les verront comme une routine et mettront l'accent sur une récupération rapide. Mais par défaut, ma réaction instinctive est contre les politiques qui empêchent les utilisateurs de protéger leurs propres comptes.
@iamnotmaynard Sauf s'il existe un bouton "Mot de passe oublié" à côté de la connexion.Ce qui montre simplement comment les mesures de sécurité interagissent les unes avec les autres.
@Peter Exact, à moins que l'attaquant n'en soit conscient et n'ait changé les questions de courrier électronique et de sécurité (ce qui, je m'attendrais, à ce que l'attaquant soit familier avec le système dans lequel il est piraté).
@iamnotmaynard c'est vrai, à condition bien sûr que le site permette de changer d'email, ce qui ne le fait pas tous!(la plupart le font cependant)
supercat
2017-04-04 02:10:02 UTC
view on stackexchange narkive permalink

Quand quelque chose comme un mot de passe est changé sur un système distribué, cela peut prendre un certain temps avant que le changement prenne effet. Si plusieurs demandes de modification pouvaient être en attente simultanément, une complexité de code supplémentaire serait nécessaire pour garantir qu'elles sont toutes résolues correctement, en particulier si les demandes doivent inclure des informations sur l'ancien et le nouveau mot de passe forme de "delta"]. De tels problèmes ne seraient pas insurmontables, mais s'il était acceptable d'exiger que tout changement de mot de passe ait une chance de s'infiltrer dans le système avant qu'un autre puisse être émis, cela pourrait éviter une complexité significative.

Je n'excuserais aucun système distribué moderne de prendre 24 heures pour effectuer la réplication, mais il existe de nombreuses applications héritées dans le secteur financier qui utilisent des mainframes comme backends qui effectuent leur traitement par lots du jour au lendemain.Étant donné que nous ne pouvons pas prédire quand votre transaction aura été traitée, nous demandons simplement que 24 soit du bon côté.
@Johnny: Même en tenant compte des systèmes hérités, je ne m'attendrais pas à ce que les mises à jour de mot de passe prennent normalement près de 24 heures, mais certains serveurs de base de données peuvent parfois être arrêtés pour maintenance, mises à niveau du système ou reprise après panne, et les banques peuvent ne pas vouloir publierquand cela va arriver.
Jibin Philipose
2017-04-03 19:54:29 UTC
view on stackexchange narkive permalink

Je pense que c'est correctement défini quand ils ont dit que c'était pour des raisons de sécurité.

Si quelqu'un a piraté votre compte, vous devriez recevoir une sorte de notification indiquant que la connexion depuis un nouvel appareil ou lieu de travail a été détectée. En ces termes, cette fonctionnalité de sécurité dépendra totalement du support qui suit votre problème, et s’ils répondent assez rapidement, vous obtiendrez un nouveau mot de passe modifié conformément à leurs politiques de sécurité en cas de piratage.

Mais nous pouvons également supposer que ce n'est pas la meilleure politique, ils devraient donc imposer plus de restrictions s'ils ont gardé un délai minimum de 24 heures si vous souhaitez modifier à nouveau votre mot de passe.

Mais l'OP a demandé au support de changer le mot de passe et ils ne l'ont pas fait.
Il y a une chance très rare que le support refuse d'aider l'OP en cas de piratage.Lorsque l'authentification est effectuée correctement, ils n'ont aucune raison de refuser les demandes OP car ces questions de sécurité et le numéro de téléphone sont enregistrés et, dans certains cas, les empreintes digitales aussi, c'est pourquoi j'ai également mentionné qu'il devrait y avoir une politique encore plus stricte définissant toutes ces restrictions en termesd'une situation d'urgence comme le piratage d'un compte.
@GamerD: Si un compte a un indicateur "accès bloqué" distinct du mot de passe, les difficultés liées à l'émission d'une demande de changement de mot de passe alors qu'une autre est en cours ne s'appliqueraient pas aux demandes de blocage de compte sauf lorsqu'une autre demande de blocage ou de déblocage de compte était en cours.
Vous avez tout à fait raison et cela se rapporte aux algorithmes en temps réel que les bases de données modernes imposent, donc comme je l'ai dit, les politiques sont une chose importante à définir et dans ce cas, l'administrateur de cette base de données doit intervenir ou le support technique va simplement transmettre leinterrogez l'administrateur et il proposera à son tour une solution réalisable qui ne permettra certainement pas au pirate de manipuler les indicateurs d'accès ou toute autre faille que le pirate pourrait éventuellement exploiter.
Ludwig Behm
2017-04-05 11:51:44 UTC
view on stackexchange narkive permalink

Ajoutons un exemple concret des raisons pour lesquelles cela peut être une bonne amélioration de la sécurité.

Disons à votre collègue ou à quiconque a découvert votre mot de passe de messagerie Web (par exemple, il y a 7 ans, GMail, sans 2 facteurs). accéder à l'interface web pour changer votre mot de passe (imaginez quelques raisons) et via POP3 dans vos mails.Parce que Google est un énorme réseau, il faut un certain temps pour que les anciens mots de passe soient désactivés pour l'accès POP3. Cela donne à l'attaquant la possibilité de réinitialiser votre mot de passe encore et encore. Même si vous retrouvez l'accès avec la fonction de réinitialisation et vous validez avec votre accès à votre boîte aux lettres sur votre smartphone ou une stratégie de réinitialisation par SMS sur votre smartphone, l'attaquant (qui a toujours accès à votre boîte aux lettres via POP3 avec l'ancien ou ses propres mots de passe) peut réinitialisez votre mot de passe.

Avec une telle attaque, la victime ne peut pas vous verrouiller définitivement, car l'attaquant ne peut pas supprimer une stratégie de réinitialisation comme un numéro de SMS - mais cela indique un risque très élevé.

Ce vecteur d'attaque est facilement évitable, si les changements de mot de passe ne sont possibles que toutes les 24 heures.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...