Pourquoi vérifier votre courrier électronique dans haveibeenpwned plutôt que de changer régulièrement votre mot de passe indépendamment des fuites?

Question:

JonathanReez

2019-01-20 01:08:40 UTC

view on stackexchange narkive permalink

Il y a actuellement beaucoup de nouvelles sur haveibeenpwned, mais je ne comprends pas pourquoi les gens ont besoin d'un tel service en premier lieu. Si vous êtes un utilisateur soucieux de la sécurité, vous changeriez régulièrement vos mots de passe sur n'importe quel site Web important (services bancaires, e-mail, services payants) et les fuites ne vous affecteraient donc pas en premier lieu. En «changeant votre mot de passe», je fais référence à la création d'une chaîne de mot de passe générée aléatoirement pour chaque service, et non à la modification forcée des mots de passe dans les environnements d'entreprise.

Alors, pourquoi les gens sont-ils si intéressés à utiliser haveibeenpwned? Pourquoi ne pas suivre les bonnes pratiques de sécurité quelles que soient les fuites?

Ce n'est pas "l'un ou l'autre".haveibeenpwned est un service d'information.Vous devez toujours suivre les meilleures pratiques en matière de sécurité.

Dix réponses:

H. Idden

2019-01-20 18:13:53 UTC

view on stackexchange narkive permalink

Votre question contient plusieurs fausses hypothèses:

Si vous êtes un utilisateur soucieux de la sécurité, vous changeriez régulièrement vos mots de passe sur n'importe quel site Web qui compte

Selon mon gestionnaire de mots de passe, j'ai plus de centaines de comptes et la plupart d'entre eux me feraient du mal s'ils étaient compromis. Les changer tous régulièrement (comme tous les 90 jours) est une énorme quantité de travail. J'utilise donc plutôt des mots de passe forts générés par le gestionnaire de mots de passe. Mais certains services enregistrent toujours les mots de passe en texte clair.

et donc les fuites ne vous affecteraient pas en premier lieu.

Disons que je changerais chaque mot de passe tous les 90 jours. Il est toujours possible qu'il y ait 89 jours où mon compte soit compromis et que l'attaquant ait le temps de faire quoi que ce soit, y compris de changer mon mot de passe. Lorsque vous savez que votre compte est dans la liste, vous pouvez agir instantanément.

Pourquoi ne pas suivre les bonnes pratiques de sécurité indépendamment des fuites?

Voir le point précédent.

Alors, pourquoi les gens sont-ils si intéressés à utiliser haveibeenpwned?

Pour savoir quels comptes sont affectés et pour déterminer quel service a été piraté / d'où proviennent les comptes.

Avec ces connaissances:

Je peux changer le mot de passe instantanément.
Je sais quel service est le moins fiable pour les données sensibles, l'argent, ... et je pourrais fermer mon activité sur ce service.
Si ce service dispose d'un système de messagerie, je sais que je suis plus attentif aux messages des "amis" car le compte pourrait être volé.
Je sais lesquelles de mes données pourraient être compromises (données sur le service piraté).

"* Pour savoir quels comptes sont affectés et pour déterminer quel service a été piraté / d'où proviennent les comptes. *" Juste pour faire avancer les choses - vous pouvez avoir des comptes que vous avez oubliés de créer.Comme un compte que vous avez créé pour publier sur un forum il y a 15 ans et que vous n'avez jamais utilisé depuis.Alternativement, vous pourriez avoir des comptes * dont vous n'avez jamais entendu parler *.Cela peut arriver si un ancien service que vous avez utilisé change de mains et est renommé, par exemple, ou fusionné avec un autre.J'ai certainement commencé à recevoir des newsletters de services dont je ne savais pas qu'ils existaient parce qu'un autre compte que j'avais y était inclus.Savoir est la moitié de la bataille.

Les points les plus importants ici sont les parties non liées aux mots de passe.Changer votre mot de passe régulièrement vous permet d'être assez sûr que vos comptes ne sont pas compromis ... mais cela ne vous donne aucune information.Lorsqu'un service est compromis, la modification de votre mot de passe n'est peut-être pas la seule action à entreprendre.Vous voudrez peut-être annuler les cartes bancaires, vérifier l'activité récente de votre compte pour des choses dont vous ne vous souvenez pas, alerter vos amis de ne pas faire confiance aux messages de votre part, vérifier vos sauvegardes dans le cloud pour les tentatives d'ajout de fichiers malveillants, ou bien d'autres choses qui peuvent êtred'une importance vitale.

@vlaz c'est un excellent point - et en fait, une de mes adresses e-mail s'est révélée avoir été compromise sur un site auquel je ne me souviens pas avoir jamais donné mon adresse e-mail (même si j'aurais pu facilement en utiliser une-de).Dans ce cas, je ne sais pas vraiment quelle action je pourrais entreprendre * de toute façon *.

@vlaz Par expérience, je peux certainement dire que cela est endémique sur les sites et services d'agences d'emploi / de publicité en ligne, et lorsque vous considérez la quantité d'informations personnelles que les gens soumettent à ces choses (sur les CV, les modèles de lettres de motivation, etc.), c'est vraiment quelque chose àêtre concerné par.

@vlaz si vous avez créé un compte sur un forum obscur depuis 10 ans, vous souciez-vous vraiment qu'il soit volé?

@JonathanReez, il est possible qu'au cours des 10 dernières années, les gens aient commencé à utiliser des mots de passe uniques.Par exemple, quand j'étais adolescent, je ne l'ai pas fait.Il y a eu des comptes dont j'avais oublié l'existence et qui avaient «mon mot de passe» qui ont été divulgués.Maintenant, j'utilise des mots de passe uniques, mais il est toujours bon de savoir que ces anciens comptes ont été compromis et que "mon mot de passe" est connu.

@JonathanReez peut-être?Cela dépend de ce que possède le compte.Un ancien mot de passe est évident mais, en réalité, le problème ici est que vous vous concentrez sur l'exemple littéral plutôt que sur ce dont il s'agit.Cela aurait pu être * n'importe quel * compte avec * n'importe quelle * information que vous avez utilisée pour * n'importe quoi *.Il peut contenir des éléments tels que des données personnelles que vous avez renseignées parce que vous y êtes invité.Peut-être avez-vous effectué un achat ponctuel contenant des informations de paiement.Pour retourner votre question (initiale) sur vous - si vous êtes un utilisateur soucieux de la sécurité, pourquoi ne seriez-vous pas intéressé à atténuer toute fuite d'informations potentielle?

@vlaz Personnellement, j'utilise de fausses informations personnelles sur tout formulaire en ligne ou hors ligne qui n'a pas besoin de les connaître pour atténuer ce risque.Mais je comprends votre point.

Nous oublions tous quelque chose - De nombreux sites utilisent désormais un tableau séparé pour les mots de passe.S'ils ont la table des utilisateurs, ils ont la table des mots de passe.Changez-le autant de fois que vous le souhaitez, tout ce que vous faites est de leur donner plus de mots de passe.

they

2019-01-20 02:18:04 UTC

view on stackexchange narkive permalink

Le changement de mot de passe n'est souvent plus considéré comme une bonne pratique.

Les gens sont intéressés par HIBP car il centralise les informations concernant les violations et le rend facile. accessible. Tout le monde n'est pas un utilisateur soucieux de la sécurité, mais les informations sont précieuses pour tous les utilisateurs car, quelle que soit la pratique de l'âge des mots de passe, le mot de passe doit être changé immédiatement après avoir connaissance d'une violation.

* Forcer * les gens à changer leurs mots de passe n'est plus une bonne pratique.Le faire par vous-même est toujours une bonne pratique.

Cela a déjà été discuté: https://security.stackexchange.com/questions/186780/how-often-should-i-change-my-passwords Comme il est bien indiqué _ "La seule autre raison de changer les mots de passe selon un calendrier est de se conformer à des politiques obsolètes qui résistent au changement, telles que les exigences PCI DSS concernant les mots de passe: ** 8.2.4 Modifiez les mots de passe / phrases de passe des utilisateurs au moins une fois tous les 90 jours. ** Ce n'est pas un problème de sécurité mais un problème de conformité.Face à une réglementation qui a essentiellement force de loi, le respect doit malheureusement l'emporter sur la sécurité. "_

La principale raison pour laquelle changer les mots de passe n'est pas conseillé est que cela impose un travail supplémentaire à l'utilisateur, et il a été noté que dans la pratique, cela encourage simplement la plupart des utilisateurs à réduire cette charge de travail en la rendant facile à faire, ce qu'ils réalisent généralement en utilisant des modèles.(* password1 *, * password2 *, * password3 * etc) et en choisissant des mots de passe plus courts et plus faciles à mémoriser, qui tous deux affaiblissent le mot de passe.Si vous êtes un utilisateur soucieux de la sécurité qui utilise toujours un gestionnaire de mots de passe pour générer des mots de passe suffisamment sécurisés, changer fréquemment vos mots de passe ** rendra ** vos comptes plus sécurisés.

@anaximander Je ne suis pas d'accord.Changer fréquemment les mots de passe lorsque vous choisissez des mots de passe forts est principalement un théâtre de sécurité et un travail inutile.Si vous utilisez des mots de passe forts et uniques, la seule chose contre laquelle la modification de votre mot de passe vous protège est que votre mot de passe soit divulgué par ce service tiers.Cependant, la durée plus longue des changements de mot de passe (90 jours) laisse encore beaucoup de temps pour que les dommages soient causés, et si cela est causé par des faiblesses de la plate-forme tierce, changer votre mot de passe peut ne pas aider de toute façon.

@ConorMancone Les changements fréquents de mot de passe réduisent la fenêtre de temps pendant laquelle un mot de passe compromis est utile à un attaquant.Il y a généralement un délai entre une violation et le moment où vous découvrez une violation.Dans certains cas, les violations n'ont pas été découvertes pendant * des années *.Si vous changez fréquemment de mot de passe, quelle que soit la durée de ce délai, votre mot de passe n'a été utile à l'attaquant que pendant au plus quelques instants de moins que la durée de votre «expiration».

@ConorMancone Bien sûr, si votre mot de passe est fort et prend donc un certain temps à craquer (en supposant un hachage correct, etc.), alors votre durée "d'expiration" n'a pas besoin d'être trop inférieure au temps approximatif qu'il faudra pour craquer.Par exemple, si vous pouvez être sûr que cela prendra au moins 90 jours à un acteur malveillant représentatif pour déchiffrer votre mot de passe et ainsi pouvoir l'utiliser, alors vous n'avez vraiment besoin de réinitialiser votre mot de passe que tous les 80 jours.sûr que même si une violation se produit et que vous ne le savez pas, ils ne pourront jamais utiliser votre mot de passe.Réinitialiser plus souvent que cela n'ajoute rien.

@anaximander Je pense qu'il est beaucoup plus utile de regarder cela du point de vue du «modèle de menace» que de faire des déclarations générales (c'est-à-dire changer vos mots de passe tous les 90 jours).Par exemple, je peux vous garantir que personne ne passera 90 jours à essayer de forcer votre mot de passe, à moins que ce mot de passe ne soit la seule chose qui se trouve entre eux et des dizaines de milliers de dollars de crypto-monnaie.Alors bien sûr, si vous avez un compte de trading de crypto-monnaie en ligne d'un million de dollars, n'hésitez pas à changer votre mot de passe tous les 90 jours.Mais pour 95% de vos comptes en ligne, ce n'est qu'une perte de temps.

@ConorMancone Bien entendu, chaque action de sécurité doit être évaluée dans le contexte de votre modèle de menace pour déterminer si l'effort en vaut la peine.Cela dit, en l'absence de tout modèle de menace, cette question demandait simplement s'il * y a * un avantage aux changements fréquents de mot de passe, et la réponse à cela est oui, il y en a: cela rend les données compromises contenant votre hachage de mot de passe inutiles à quiconquene peut pas le casser assez rapidement et limite votre exposition à des violations dont vous ne connaissez pas encore.C'est à vous de décider si vous pensez que cela suffit pour justifier le travail supplémentaire.

@JonathanReez Comment cela?Quelle différence y a-t-il entre le fait qu'un utilisateur change son mot de passe et l'utilisateur change régulièrement son mot de passe?Le premier est-il en quelque sorte compromettant même si le comportement exact du second ne l'est pas?

@TheGreatDuck on mène à des mots de passe comme "Password! 123" qui sont affichés sous forme de pense-bête sur votre moniteur.L'autre conduit à des mots de passe aléatoires appropriés qui sont conservés en sécurité.

@JonathanReez Comment cela?Pourquoi un utilisateur utiliserait-il un système moins sécurisé simplement parce qu'on lui a dit de changer le mot de passe plutôt que de le faire volontairement?L'utilisateur peut toujours utiliser un mot de passe aléatoire dans les deux situations.L'écriture de mots de passe sur une note autocollante semble être un problème complètement distinct et se produirait même si un utilisateur choisit de changer le mot de passe.Surtout avec un mot de passe aléatoire, ils risquent d'oublier.

@TheGreatDuck Bien que cela puisse s'appliquer aux deux situations, comme quelqu'un peut volontairement changer un mot de passe _et_ utiliser une séquence simple, les gens ont tendance à utiliser une séquence simple ou à écrire le mot de passe.https://ldapwiki.com/wiki/Password%20Statistics Mon opinion jusqu'à présent, sans trop y regarder, est que le type d'utilisateur qui change volontairement de mot de passe est probablement plus soucieux de la sécurité et plus susceptible de ne pas utiliser une simple séquence ou écrireleur mot de passe, et éventuellement utiliser un gestionnaire de mots de passe ... Ou, ils évitent simplement la confrontation et utilisent toujours des mots de passe minables ...

@TheGreatDuck Un utilisateur * forcé * à changer son mot de passe n'a probablement pas voulu, donc il essaiera de rendre la tâche aussi rapide et facile que possible en choisissant un mot de passe simple, en incrémentant un nombre (* password1 *, * password2 *,* password3 * etc) ou une autre astuce - et la plupart de ces astuces conduisent à de mauvais mots de passe.Un utilisateur * choisissant * de mettre à jour son mot de passe est moins susceptible de renvoyer le temps et les efforts, car il a choisi de le faire, et mettra donc probablement plus d'efforts pour en choisir un bon.Ils sont également plus susceptibles d'être des utilisateurs soucieux de leur sécurité et donc plus susceptibles d'utiliser un gestionnaire de mots de passe.

Si vous utilisez des mots de passe aléatoires de 40 lettres, comme vous le devriez si vous êtes un utilisateur soucieux de la sécurité et que vous utilisez des gestionnaires de mots de passe, il n'y a aucun moyen que vous soyez forcé par la brute.Soit votre mot de passe sera craqué presque immédiatement car il n'y a pas de hachage impliqué (ou ils utilisent une cryptographie locale qui est facilement réversible grâce à une analyse cryptographique de base), soit ils utilisent au moins un tour de hachage cryptographique non salé, mais fort, ce qui serait suffisant pour protégerun mot de passe de 256 bits (le salage et l'étirement des clés ne sont vraiment nécessaires que pour renforcer les mots de passe faibles).

Les changements de mot de passe, même volontairement, n'apportent que des avantages marginaux pour un scénario presque inexistant.Oui, il est théoriquement plus sûr, mais il est peu probable que cela vaille la peine pour la quantité d'efforts nécessaires pour les mettre en œuvre.Par exemple, il n'y a aucune violation de mot de passe connue où des changements de mot de passe réguliers auraient empêché des dommages.90 jours, c'est éternel, et rien de moins que cela est irréalisable.

Rory Alsop

2019-01-20 04:03:00 UTC

view on stackexchange narkive permalink

La modification régulière des mots de passe tend en fait à réduire la sécurité, car les gens finissent par utiliser des modèles répétés.

Les recommandations sont d'utiliser des mots de passe forts, uniques à chaque service, et ne changent que lorsqu'un compromis est suspecté. / p>

HIBP donne cette notification de compromis.

Pour développer ceci: Pour que HIBP identifie quel mot de passe ou quel service est compromis, je crois que vous devez utiliser un ID utilisateur différent sur chaque service.Il ne suffit pas d'avoir le même UserID mais des mots de passe différents sur chaque service.Par exemple, pour les données de violation d'adresse Onliner Spambot 711 millions, vous ne pouvez pas trouver le service ou le mot de passe pour une adresse e-mail pwnd utilisée comme identifiant de connexion sur plusieurs sites (avec des pw différents pour chacun).HIBP par politique ne divulgue pas les PW et ne fournit même pas de hachage que vous pourriez vérifier.

Ce n'est pas seulement un motif répété.Si je passe de "supersecurepassword" à "supersecurepassword1", ... 2, ... 3 c'est inutile mais pas pire que de ne pas changer.Le problème est que les gens passent de "supersecurepassword" à "supersecure1" et 24 mois plus tard à "super24" parce qu'ils ne peuvent tout simplement pas être dérangés, donc les mots de passe sécurisés sont remplacés par des mots moins sécurisés.

En exécutant des audits de mots de passe sur quelques années avec quelques milliers d'employés dans diverses organisations, je peux vous dire que les modèles répétés sont incroyablement courants.La plupart incrémentent le dernier chiffre.Certains changent de mois ou de nom de saison.

@RoryAlsop Comment savez-vous quels mots de passe «quelques milliers d'employés de diverses organisations» utilisent?Personne, et je veux dire personne, ne devrait avoir accès ou pouvoir y avoir accès.Qu'est-ce que je rate?

@LightnessRacesinOrbit: Un test automatisé de résistance des mots de passe peut rapporter des statistiques sur les règles particulières enfreintes, sans divulguer les mots de passe, ou même les comptes impliqués.

@BenVoigt Comment un tel outil pourrait-il connaître des choses comme "incrémenter le dernier chiffre" ou "changer le mois ou le nom de la saison" à moins que les mots de passe ne soient stockés en clair?

@LightnessRacesinOrbit: C'était ma première réaction à l'idée.Mais il y a plusieurs années, on m'a fait remarquer que ces tests sont effectués pendant le processus de changement de mot de passe - le nouveau mot de passe doit être en clair pendant ce processus, mais il n'a jamais besoin d'être stocké de cette façon.

@lightness - audits de la force des mots de passe.Pas ce que Ben a suggéré.En termes simples, force brute du fichier SAM, puis rapport sur le nombre de mots du dictionnaire, ou "mot de passe" ou d'équipes de football ou de destinations de vacances, etc. Non associé aux comptes d'utilisateurs, bien que certaines organisations nous les demandent - juste un moyen très utiledonner des statistiques

@RedGrittyBrick HIBP propose désormais un service pour vérifier si les mots de passe ont été pwned, par hachage.Il s'agit de leur nouveau service pwnedpasswords.

@LightnessRacesinOrbit Lorsque vous changez d'emploi ou travaillez en tant qu'entrepreneur, vous avez également tendance à rencontrer de grandes entreprises internationales qui ont des politiques de mot de passe si ridiculement strictes que vous apprenez les modèles qui garantiront l'acceptation par le système de la part de collègues / autres entrepreneurs travaillant plus longtemps avec ce grand corp.Il suffit de dire que ces modèles sont faciles à retenir et partagés non seulement par les sous-traitants, mais également par les travailleurs internes et si répandus, je dirais que 50% de l'entreprise les utilisant est une estimation basse.

@RedGrittyBrick Bien que vous ayez raison, HIBP ne peut pas nécessairement vous dire ce qui a été violé;cela dépend de la nature de la violation.Si un fichier apparaît contenant un grand nombre de combinaisons e-mail / mot de passe sans informations contextuelles, comme les listes Collection # 1 ou AntiPublic, alors bien sûr, il n'y a aucun moyen réel de savoir d'où cela vient.Cependant, s'il s'agit d'une violation révélée ou que les données sont récupérées avec un contexte suffisant, alors c'est une autre histoire.Par exemple, HIBP peut vous dire si vous étiez dans la brèche LinkedIn ou dans la brèche Dropbox, en raison de la façon dont celles-ci ont été découvertes.

@Darkwing cela ne devrait pas être un secret quel modèle de mot de passe fonctionne si vous êtes un employé.Vous devez savoir exactement quels types d'exigences sont en place afin de ne pas essayer d'entrer un choix de mot de passe inacceptable 10 fois avant d'atterrir finalement sur celui qui fonctionne.

@TylerH Vous n'avez pas besoin de me dire que ^^ J'aurais aimé une interface utilisateur claire avec des restrictions raisonnables et pas ou une politique de changement de mot de passe raisonnable, la réalité que j'ai vue est différente.

@Darkwing Je pense que MS est tout à fait coupable de cela - il n'y a aucun moyen d'afficher les exigences de complexité du mot de passe AFAIK dans Windows lors du changement de votre mot de passe AD / local.

@TylerH C'est peut-être le cas, mais je ne suis jamais tombé dessus.Par rapport à ce que j'ai vu, MS est l'étalon-or de l'utilisable.

Aaron

2019-01-20 06:37:01 UTC

view on stackexchange narkive permalink

Il est pratique lorsque votre adresse e-mail a été exposée, mais pas dans le cadre d'un ensemble d'informations d'identification. Par exemple, j'ai eu une adresse e-mail incluse dans une violation mais je n'avais pas de compte avec ce service / produit, la violation concernait en fait un outil marketing utilisé par un service / produit que je utilisait et mon adresse e-mail avait été ajoutée à l'outil à des fins de marketing.

Sachant que mon adresse e-mail avait été exposée de cette manière, je savais qu'il fallait garder un œil sur l'augmentation du spam et des tentatives de phishing. p>

Esa Jokinen

2019-01-20 02:03:11 UTC

view on stackexchange narkive permalink

Il existe une option pour surveiller des domaines entiers. Ceci est très utile car tout le monde dans l'entreprise n'est pas aussi conscient et ne s'en soucie pas autant. Avec une telle notification, en tant qu'administrateur, vous pouvez par ex. forcer les changements de mot de passe supplémentaires pour les utilisateurs dont les nouveaux mots de passe ont été divulgués.

De plus, accroître la sensibilisation est important en soi.

+1 pour l'utilisation «de sensibilisation croissante» du HIBP.Je suggère souvent aux gens de se regarder.Cela leur ouvre les yeux.

Lichtbringer

2019-01-23 00:55:25 UTC

view on stackexchange narkive permalink

Toutes les autres réponses parlent des meilleures pratiques. Mais prenons la question à facevalue: "Pourquoi les gens n'utilisent-ils pas les meilleures pratiques (quelles qu'elles soient), et utilisent plutôt ce site Web".

Le plus gros problème de sécurité est l'élément humain. C'est la nature humaine. Pour améliorer la sécurité, vous devez en tenir compte.

Vous écrivez dans la question: "Un utilisateur soucieux de la sécurité le ferait", mais ensuite vous demandez "pourquoi les gens sont-ils si intéressés par l'utilisation de haveibeenpwned?". Eh bien, c'est parce que beaucoup de gens qui sont intéressés par le service ne sont PAS conscients de la sécurité. Peut-être qu'ils sont un peu conscients, peut-être qu'ils viennent d'entendre sur Facebook ce site Web de neet.

Si je dis à ma mère de " les bonnes pratiques de sécurité »(et les a expliqué), elle ne ferait rien.
Si je dis à ma mère de vérifier ce site Web pour le mot de passe / courriel qu'elle utilise partout, et que cela lui montre qu'il est compromis, elle changera probablement au moins une fois sur des sites Web importants.

En fin de compte, c'est un compromis pour l'utilisateur.
S'il n'a jamais fait pirater un compte et qu'il en a ressenti l'impact, il verra le risque comme très suivre les meilleures pratiques car très élevé.
Vérifier haveibeenpwned en revanche est très peu coûteux. Et l'enregistrer en soi vous donne une meilleure évaluation des risques. Si vous êtes compromis, vous savez maintenant que le risque pour vous est élevé, il est donc plus probable qu'ils suivront de meilleures pratiques après avoir visité le site Web.

C'est donc plus facile et plus pratique, et donc plus susceptible de devenir viral. C'est quelque chose que je peux partager, et les personnes analphabètes de sécurité peuvent utiliser et se sentir bien et partager aussi. C'est aussi une passerelle vers de bonnes pratiques de sécurité.

Tom

2019-01-22 15:37:07 UTC

view on stackexchange narkive permalink

Pourquoi ne pas suivre les bonnes pratiques de sécurité indépendamment des fuites?

Parce que changer régulièrement vos mots de passe n'est pas une bonne pratique de sécurité . C'est un hack et une solution de contournement.

La bonne pratique de sécurité serait de changer votre mot de passe chaque fois que vous avez des raisons de croire qu'il a été compromis. J'ai eu des mots de passe root inchangés pendant une décennie car il n'y avait jamais aucune raison de soupçonner qu'un compromis a eu lieu, donc cela aurait été un non-sens de créer le coût d'un changement de mot de passe (même minime) sans raison.

Le conseil de changer régulièrement les mots de passe est ce que nous utilisons lorsque le suivi des possibilités de compromis devient difficile ou coûteux, et le changement régulier est plus simple et moins cher que cela. Fondamentalement, le raisonnement est le suivant: "Si je n'ai aucune idée de la probabilité que mon mot de passe soit compromis, je prendrai simplement une moyenne statistique et je ferai preuve de prudence".

Alors, quand des preuves réelles - telles que havibeenpwned - apparaissent, il est toujours préférable d'utiliser les données réelles plutôt que toute hypothèse heuristique estimée.

addendum:

Si vous recherchez un peu, vous pouvez trouver de nombreuses publications prônant contre les changements de mot de passe réguliers sans raison valable. Avertissement: Certains d'entre eux sont à moi. Cette absurdité est peut-être une pratique courante, mais le fait que a) n'en fait pas une bonne pratique et b) ne signifie toujours pas que cela peut contenir des données réelles .

N'est-ce pas le fait que ni vous ni Troy Hunt ne soyez au courant de toutes les failles de sécurité?Vous parlez de "preuves réelles" mais Hunt lui-même cite le fameux "L'absence de preuves n'est pas une preuve d'absence" dans sa [FAQ] (https://haveibeenpwned.com/FAQs) et continue avec "juste parce que votre adresse e-mail n'était pas't trouvé ici ne signifie pas qu'il n'a pas été compromis dans une autre violation. "

Absolument.Vous pouvez en tirer des preuves ** positives **, mais pas négatives.Tout le problème est que les sites Web tiers peuvent être compromis et vous ne le saurez jamais car ils le font taire.C'est pourquoi j'ai des politiques de mot de passe différentes pour mes propres sites et sites tiers.

@Tom son point est probable, que vous ne pouvez jamais être totalement sûr que votre machine / mot de passe n'a pas été piraté.Votre mot de passe peut être compromis à tout moment.Ainsi, le coût de sécurité de ne pas changer votre mot de passe n'est jamais égal à 0. Ne pas changer de mot de passe (ou rarement) peut toujours être une stratégie valide, mais le coût est toujours inconnu même s'il s'agit de votre propre machine.Il n'y a que des «données factuelles» qui indiquent «vous devez changer votre mot de passe maintenant», mais aucune n'indique clairement «vous n'avez pas besoin de changer votre mot de passe».

Oui, mais cela frôle la paranoïa d'affirmer que votre mot de passe pourrait être compromis en ce moment ... non, maintenant ... peut-être maintenant?et maintenant?Ce n'est pas une approche appropriée pour évaluer le risque.

Anders

2019-01-20 15:06:47 UTC

view on stackexchange narkive permalink

Changer souvent les mots de passe peut être une bonne pratique si vous utilisez un gestionnaire de mots de passe. Sinon, c'est une mauvaise idée car vous ne vous souvenez pas aussi facilement des bons mots de passe.

Une minorité de personnes utilise un gestionnaire de mots de passe. Et même si vous en utilisez un, je suppose que vous ne changez pas tous vos mots de passe souvent. Il y a des services que j'utilise une fois tous les deux ou trois ans. Ou que j'ai créé un compte mais que je ne réutiliserai peut-être plus. Est-ce que j'y retournerais et changerais mon mot de passe tous les mois?

J'ai plus de 50 sites répertoriés dans mon gestionnaire de mots de passe. Changer tous ces mots de passe tous les mois environ serait tout simplement trop de travail.

"* Et même si vous en utilisez un, je soupçonne que vous ne changez pas tous vos mots de passe souvent. *" En effet - OP ne mentionne que "les mots de passe qui comptent".Le problème qui se pose immédiatement est * quels * comptes comptent?En supposant des mots de passe uniques partout, vous êtes à l'abri de la réutilisation des informations d'identification, mais pas des informations qui peuvent être divulguées par d'autres services.Et toute information divulguée peut être potentiellement utile.Donc, vous devez changer tous les mots de passe.Mais c'est trop de travail, peut-être que seuls les VRAIMENT, vraiment importants doivent être changés ... alors après cela, vous entrez dans un terrier en forme de spirale.

SSight3

2019-01-21 18:02:55 UTC

view on stackexchange narkive permalink

Pour vous protéger contre la fraude

Il y a une autre considération que je remarque que les gens n'ont pas couverte, dont l'une est la fraude d'identité et l'usurpation d'identité de l'entreprise compromise, dont quelque chose changer un mot de passe ne vous protégera pas.

Par exemple, il est courant pour les escrocs de récolter des informations divulguées et ensuite prétendre être l'entreprise dont les informations ont été divulguées en utilisant les informations qu'ils 'ai obtenu de vous convaincre qu'ils ont «légitimement» accès à vos informations. Le FAI TalkTalk voit souvent des escrocs téléphoner, se faisant passer pour des ingénieurs de service TalkTalk, régurgitant les informations volées comme «preuve» de leur authenticité.

De même, savoir quelles entreprises se sont fait voler leurs coordonnées vous permet pour savoir quels vecteurs les escrocs essaieront d'utiliser contre vous. Par exemple, des détails sur Adobe ont été volés et il est fort possible qu'un escroc puisse envoyer un courrier électronique à des personnes dont les comptes étaient sur Adobe, une mise à jour supposée `` urgente '' de leur logiciel Adobe, qui télécharge et installe de manière malveillante des logiciels malveillants. Être conscient que des informations ont été divulguées par Adobe vous permet de prendre des précautions supplémentaires contre cela.

Une alternative est si les informations divulguées concernent une activité que vous préféreriez ne pas rendre publique; vous pouvez alors prendre des mesures raisonnables pour que ces informations soient nettoyées (comme la suppression du compte ou la modification des adresses e-mail).

Donc, en résumé; vous vérifieriez régulièrement que vous savez ce que les autres (escrocs EG, fraudeurs d'identité, maîtres chanteurs, etc.) savent de vous.

Je suis en grande partie en désaccord avec cette affirmation.Si vous souhaitez vous protéger contre la fraude d'identité, il existe des services et des forfaits plus complets que vous pouvez acheter auprès d'institutions financières pour protéger des éléments tels que votre crédit et vos comptes bancaires.

L'exemple que j'ai donné était une usurpation d'identité d'un FAI, qui n'a rien à voir avec la fraude financière.

Tom K.

2019-01-21 21:33:26 UTC

view on stackexchange narkive permalink

Je vais aller à contre-courant de la tendance et en désaccord avec les autres réponses:
Vous devez régulièrement changer vos mots de passe sur un service auquel vous ne faites pas confiance pour gérer vos données en toute sécurité.
Vous pouvez également vérifier régulièrement votre mot de passe responsable de ces sites et décidez si vous avez vraiment besoin de chacun d’entre eux. Sinon: envoyez un e-mail au prestataire et demandez la suppression de votre compte et de toutes les données affiliées.

Les directives du NIST qui gèrent les mots de passe indiquent:

Les vérificateurs NE DEVRAIENT PAS exiger que les secrets mémorisés ^{read: passwords} soient modifiés arbitrairement (par exemple, périodiquement) . Cependant, les vérificateurs DOIVENT forcer un changement s'il y a preuve de compromission de l'authentificateur .

Collection # 1 - c'est la raison pour le buzz récent autour de haveibeenpwned.com et Troy Hunt - est un excellent exemple pour la publication de preuves de compromis.

Pourquoi? Parce qu'il ne s'agit pas d'une nouvelle faille .
Brian Krebs, expert renommé en sécurité, a publié un rapport qui affirme que toutes les données y sont au moins deux à trois ans. Son rapport contient en outre cette image issue d'une discussion crédible avec un vendeur. Une capture d'écran de toutes les autres «collections» (une à cinq) et de deux autres énormes bases de données vendues avec l'affirmation selon laquelle elles sont pleines d'identifiants de connexion fonctionnels. Dans l'ensemble, un terrabyte de données brutes provenant d'un seul vendeur.

Alors, que signifie «publication non publique» -age dans ce contexte? Si vous avez un mot de passe fort et qu'il est correctement haché, aucun attaquant ne pourra le déchiffrer, quelle que soit la durée du vidage de mot de passe. Le problème est que de nombreux sites ne hachent pas correctement votre mot de passe. Et c'est là que le NIST entre à nouveau. Ils ont adapté leurs directives pour changer les mots de passe , car cela n'avait aucun sens en ce qui concerne la partie de la directive qui traitait les mots de passe de hachage et le stockage des hachages .

Les vérificateurs DOIVENT stocker les secrets mémorisés sous une forme qui résiste aux attaques hors ligne. Les secrets mémorisés DOIVENT être salés et hachés à l'aide d'une fonction de dérivation de clé unidirectionnelle appropriée.

Alors qu'est-ce que tout cela signifie?
Conclusion:

Prémisse 1: Si un service stocke mon hachage de mot de passe en toute sécurité, les dates d'expiration arbitraires d'un mot de passe n'ont pas beaucoup de sens.
Prémisse 2: Les piratages se produisent tout le temps, seule une fraction est remarquée et / ou publiquement divulgué.
Mais si un service ne hache pas correctement votre mot de passe - et que BEAUCOUP de services ne le font pas - les dates d'expiration des mots de passe ont du sens.
Comment savoir quels services stockent mes informations d'identification en toute sécurité? Certains certificats vous donnent des informations à ce sujet. Mais même les entreprises qui semblent très professionnelles de l'extérieur échouent durement. Les petites entreprises fonctionnent parfois très bien. C'est très difficile à dire.
Si les piratages se produisent tout le temps, les violations de mot de passe se produisent également très souvent. Comme nous l'avons vu, seule une partie des bases de données de mots de passe piratés est consultable sur haveibeenpwned.
Changez donc régulièrement votre mot de passe sur les sites auxquels vous ne faites pas confiance. Encore une fois, avec l'avertissement que vous devez utiliser un gestionnaire de mots de passe pour éviter la réutilisation des mots de passe et si possible l'authentification à 2 facteurs ou l'authentification à plusieurs facteurs.

Les dates d'expiration des informations d'identification mal sécurisées n'ont de sens que pour protéger vos autres comptes contre le bourrage d'informations d'identification.Et si vous utilisez des mots de passe uniques et complexes en combinaison avec un coffre-fort de mots de passe, le bourrage d'informations d'identification est beaucoup moins susceptible de vous affecter.

Le bourrage d'identifiants n'est pas le risque ici.Il s'agit a) de la fuite de données d'un compte affecté et b) de la possibilité pour un attaquant de passer d'un compte à un autre grâce à l'ingénierie sociale.

ⓘ

Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.

À propos - jargon juridique