Я слышал, что в безопасных системах надо требовать у пользователя регулярно менять пароль — якобы это снижает вероятность пароля злоумышленниками. Я не очень понимаю это. Объясните, пожалуйста, для примера, во сколько раз снизится вероятность успешного подбора пароля из 10 символов, если он меняется каждый месяц.
Здравствуйте, Аноним, Вы писали:
А>Я слышал, что в безопасных системах надо требовать у пользователя регулярно менять пароль — якобы это снижает вероятность пароля злоумышленниками. Я не очень понимаю это. Объясните, пожалуйста, для примера, во сколько раз снизится вероятность успешного подбора пароля из 10 символов, если он меняется каждый месяц.
— Считается, что снижается вероятность для пароля "утечь" по другим каналам. Хотя, может она и повышается — временный пароль можно записать на бумажку или ещё как-нибудь несекьюрно с ним поступить... Постоянный, зато, действует на большем времени — если как-нибудь где-нибудь засветится, то надолго.
— Подбор идёт по хешу, обычно. Если перебор по хешу занимает больше месяца, то ежемесячная смена пароля гарантирует устаревание старого хеша и бесполезность перебора.
Короче, у меня на старой работе пароль менялся раз в месяц. На новой он не меняется вообще. Зато, тут он выдаётся админом, это гарантирует, что пароль не будет вида Password1 (три вида символов — цифры, маленькие буквы, большие буквы, 9 символов — удовлетворяет довольно жёстким политикам). Мне второй вариант пока больше нравится.
Здравствуйте, Аноним, Вы писали:
А>Здравствуйте.
А>Я слышал, что в безопасных системах надо требовать у пользователя регулярно менять пароль — якобы это снижает вероятность пароля злоумышленниками. Я не очень понимаю это. Объясните, пожалуйста, для примера, во сколько раз снизится вероятность успешного подбора пароля из 10 символов, если он меняется каждый месяц.
с точки зрения перебора смена пароля расплюнуть, если легко подбирается очередной пароль. например, в 10 раз дольше это фигня.
другое дело социальная инжененрия. как раз от этих методов и остерегаются и строят защиты со сменами пароля.
подробнее искат по "социальная инжерения".
обычно человек для простоты задаст почти тот же пароль с малым изменением. это не то что в 10 раз сложнее, а свосем не сложнее подобрать.
или запишет на бумажкку или еще куда, всем будет известо. снова нехорошо.
и т.д.
