> Уже лет 15 или больше на всех секьюрити конференциях долбят одно и то же, толдычат и психологи и на практике - необоснованное заставление смены паролей только вредит. На заборе тоже много чего пишут, мне нужна конкретно теорема, в которой утверждается, что от частой смены пароля снижается "уровень" безопасности. Ну вот как теорема о минимальной длине пароля, можно ведь спокойно доказать, что с уменьшением длины пароля "уровень" безопасности снижается, думаю с этим даже школьник справится, ведь b^(n-1) < b^(n). Выше в коментах, я привел аргумент с брут-форсом, при котором, достаточно один раз сменить пароль, и волею случая (1/2 с этой вероятностью), атакующий будет заниматься бесполезным действием, а "вы" предлагаете, его банить фейл-ту-баном :)
> Рекомендации НИСТ-а основываются на профессиональных исследованиях которые доказывают, что люди не запоминают пароли при частой смене, путаются и просто трансформируют предыдущий пароль - что есть фейк сенсе оф секьюрити.
А почему вам НИСТ не рассказывает, как эти же действия делаются в милитари сегменте? В курсе что-такое кийлоадер? В курсе, что такое бумага с грифом "сов. сек"? Это именно бумага, на которой записаны ключи от хранилища ключей электронной бумаги с грифом "сек". Запоминать секреты людской памятью, это как доверить козе капусту. Где обоснования, что секрет надо запоминать, а не хранить "в тайне" (недоступном посторонним месте, и тем более не перемещать, а голову вы носите с собой, нет головы, нет секрета)? Вы считаете, что в людской памяти можно хранить секреты? :))))
> В итоге даже в банках можно встретить стикер с паролями на мониторах,
Ну да, и флешки разбросанные в парке перед зданием АНБ можно найти, берите используйте :) Висит бумажка на мониторе с паролем от какой-то банковской системы, и доступ по этому паролю если че, только с этой точки и производится, или вы решили стащить пароль, и из дома банк ломануть? Как в фильме, "чувак, ты что банк из дома ломал? ... Джоуии, ДЖоуууии подмывая очко" :)
> а люди как известно существо ленивое и изобретательное
Козе капусту не доверяют!
> отсюда куча "Бобик2025!" => "Бобик2025!"
Устанавливать пароли разве дело рядового сотрудника? Вы шо ему платите за информационную безопасность? Фиг, а с фига он должен пароли какие-то там придумывать, это не его дело и ему за это не платят, вот пусть ИБэшники и занимаются этим, он всего лишь пользователь, дал ему пароль в 32 символа, он его запишет на бумагу, он не обязан использовать свой ресурс хранения (собственную память), в целях компании, если за этот ресурс ему не платят.
> Обоснованно (если вас забанили в интернете то помогу):
> 1. https://pages.nist.gov/800-63-FAQ/#q-b05
Для начала оставлю тут перевод, а дальше построчно распишу:
"""
A-B05:
SP 800-63B Section 5.1.1.2 paragraph 9 states:
“Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.”
Users tend to choose weaker memorized secrets when they know that they will have to change them in the near future. When those changes do occur, they often select a secret that is similar to their old memorized secret by applying a set of common transformations such as increasing a number in the password. This practice provides a false sense of security if any of the previous secrets has been compromised since attackers can apply these same common transformations. But if there is evidence that the memorized secret has been compromised, such as by a breach of the verifier’s hashed password database or observed fraudulent activity, subscribers should be required to change their memorized secrets. However, this event-based change should occur rarely, so that they are less motivated to choose a weak secret with the knowledge that it will only be used for a limited period of time.
-------------------------
A-B05:
В пункте 9 раздела 5.1.1.2 стандарта SP 800-63B говорится:
«Проверяющие НЕ ДОЛЖНЫ требовать произвольного изменения запомненных секретных ключей (например, периодически). Однако проверяющие ДОЛЖНЫ принуждать к изменению, если есть доказательства компрометации аутентификатора».
Пользователи, как правило, выбирают более слабые запомненные секретные ключи, когда знают, что им придется изменить их в ближайшем будущем. Когда такие изменения происходят, они часто выбирают секретный ключ, похожий на их старый запомненный секретный ключ, применяя набор распространенных преобразований, таких как увеличение числа в пароле. Эта практика создает ложное чувство безопасности, если какой-либо из предыдущих секретных ключей был скомпрометирован, поскольку злоумышленники могут применять те же самые распространенные преобразования. Но если есть доказательства того, что запомненный секретный ключ был скомпрометирован, например, в результате взлома базы данных хешированных паролей проверяющего или обнаружения мошеннической деятельности, абоненты должны быть обязаны изменить свои запомненные секретные ключи. Однако подобные изменения, основанные на событиях, должны происходить редко, чтобы у них было меньше мотивации выбирать слабый секрет, зная, что он будет использоваться лишь в течение ограниченного периода времени.
"""
Поехали...
Заметка: ПРОВЕРЯЮЩИЙ тут как в предыдущем коменте я говорил, это условно служба-сервис, к примеру почтовая служба, гмейл какой-нибудь. Будем отталкиваться от этого.
> Проверяющие НЕ ДОЛЖНЫ требовать произвольного изменения запомненных секретных ключей (например, периодически).
Это совет от НИСТ гмейлу, мол не включай "периодичную смену пароля" в необходимые требования парольной политики безопасности пользователя.
> Однако проверяющие ДОЛЖНЫ принуждать к изменению, если есть доказательства компрометации аутентификатора.
И это совет НИСТ гмейлу, когда ломанут гмейл, то он ДОЛЖЕН (ОБЯЗАН просто) принудить пользователя к смене пароля.
> Пользователи, как правило, выбирают более слабые запомненные секретные ключи, когда знают, что им придется изменить их в ближайшем будущем.
Первое к чему тут надо придраться, это то, с какого бодуна пользователь что-либо должен запоминать? В каких рекомендациях НИСТ обоснованно прописано, что пароль НАДО ЗАПОМИНАТЬ? Я еще не задаюсь вопросом, где запоминать? Предполагаю, что тут имеется ввиду - людская память. Так ли? Ведь используется термин "memorized secrets", а не "securely stored" к примеру.
> Когда такие изменения происходят, они часто выбирают секретный ключ, похожий на их старый запомненный секретный ключ, применяя набор распространенных преобразований, таких как увеличение числа в пароле.
А кто сказал что так делать нельзя? Чем пароль "Бобик2025!" хуже "Бобик2026!", где это обоснование? Если НИСТ считает, что существуют слабые пароли, то пусть составляет список критериев и проверок, за место выдумывания ерунды. Что расстояние Хэмминга между "бобиками" меньше? Ну отлично, советуй проверяющему пусть вводит проверку этого расстояния при смене пароля, но это какое отношение имеет периодичной смене пароля?
Таким же макаром можно утверждать, что при смене пароля, пользователь сменит на пароль меньшей длины :)))) А че требования к минимальной длине мы отменили? И в чем разница в примере с "бобиком", разве к новому паролю мы не должны применять политику парольной безопасности? Вот поэтому этот аргумент и терпит неудачу, ибо этот аргумент относится к "качественной" характеристике пароля - свойство "надежный пароль", пароль с меньшей длиной - такой же ненадежный как и новый пароль с расстоянием Хэмминга равным 1.
> Эта практика создает ложное чувство безопасности, если какой-либо из предыдущих секретных ключей был скомпрометирован, поскольку злоумышленники могут применять те же самые распространенные преобразования.
Да, все верно, но это все относится к качественной характеристике пароля, а ее ПРОВЕРЯЮЩИЕ должны контролировать - политикой парольной безопасности, и никак не обосновывает, почему периодическая смена пользовательского пароля НЕ ДОЛЖНА входить в необходимые требования ПРОВЕРЯЮЩЕГО.
> Но если есть доказательства того, что запомненный секретный ключ был скомпрометирован, например, в результате взлома базы данных хешированных паролей проверяющего или обнаружения мошеннической деятельности, абоненты должны быть обязаны изменить свои запомненные секретные ключи.
Ну конечно, когда "петух клюнет" или "рак свистнет". Доказательств этих может и никогда не быть, а пользователя - поимеют. Знаете, что скажет в таком случае ПРОВЕРЯЮЩИЙ? - "Надо было чаще менять пароль", в первую очередь.
> Однако подобные изменения, основанные на событиях, должны происходить редко, чтобы у них было меньше мотивации выбирать слабый секрет, зная, что он будет использоваться лишь в течение ограниченного периода времени.
Ванга отдыхает :)
НИСТ значить говорит, "смотри, ПРОВЕРЯЮЩИЙ, если тебя взломают, то беги всем пользователям сообщи, чтобы они сменили пароль", а что делать пользователю если его взломают? Пользователю, который далек от понятия "взлом и информационная безопасность"? Тому пользователю, который готов вписать свой мега сложный пароль в любую фишингую форму, что ему делать? Правильно, зачем нам его просить чаще менять пароль? Ведь его в любом случае взломают, и он никогда об этом не узнает, давайте просто свалим всю ответственность на него, ну тогда к чему вся эта ерунда с парольной политикой, если ПРОВЕРЯЮЩЕМУ по факту пофиг на пользователя.
Вывод: я так и не увидел обоснования, что частая смена пароля в общем случае не влияет на безопасность, и в худшем случае ее снижает. Выходит, по этой рекомендации, те же сертификаты TLS не должны иметь максимального срока действительности? Поэтому летсэнкрипты снижают срок действия до одного месяца? Почитайте чем они обосновывают это решение!
> Дальше сами...
В ИБ - всегда сами и с усами, а к таким как НИСТ прислушиваться - дело последнее!
Вариант для распечатки
(?), 02-Янв-26, 08:02 
