Так же как и приложения, пароли устаревают, потому что пользователи обычно не меняют свои пароли регулярно, используя их на протяжении нескольких лет. Это утверждение особенно справедливо в отношении аккаунтов электронной почты провайдеров Иитернет-услуг (ISP). процедура замены паролей которых очень сложна. Вам необходимо требовать от пользователей регулярной замены пароля, как это делают некоторые web-сайты.
Однако установить корректный интервал времени, через который необходимо менять пароль, нелегко. Если максимальный срок действия пароля составляет б месяцев, возрастает риск несанкционированного раскрытия пароля. Но если запрашивать изменение пароля каждые 30 дней, вы скоро обнаружите, что люди начнут пользоваться шаблонами, то есть использовать последовательные пароли или пароли, основанные датах. Таким образом, слишком частое изменение паролей на деле может привести к снижению защиты системы. Более того, если пользователь заходит на web-сайт не чаще одного раза в несколько месяцев и обнаруживает, что ему необходимо каждый раз менять свой пароль, он будет недоволен подобной системой.
Чтобы рассчитать оптимальный срок действия пароля, задайте себе несколько вопросов:
1. Насколько важны защищаемые данные?
2. Как часто пользователь заходит в приложение?
3. Сколько времени займет вычисление пароля, основанного на ваших требованиях по его усложнению?
Если ваше web-приложение - это система он-лайн-банка, оптимальным сроком действия пароля будет период от трёх до шести месяцев. С другой стороны, если вы занимаетесь интерактивной продажей цветов, можно разрешить пользователям не менять пароли в течение года и более.
Подсказка: Если вы хотите, чтобы пользователи меняли пароли, но не хотите навязывать им сроки действия, можно через определенные интервалы времени отправлять им сообщения по электронной почте о том, что их пароль устарел, в качестве приложения давая ссылку на быструю замену пароля. Ещё один способ, чтобы заставить пользователей менять пароль - это предоставить им право самим устанавливать срок действия пароля.
Срок действия непосредственно связан с историей пароля, которая представляет собой список предыдущих паролей, употребляемых данным пользователем. История пароля предостерегает от выбора в качестве нового пароля тот, которым он уже пользовался ранее. Система будет отвергать пароль каждый раз, когда он будет совпадать с паролем из списка. Многие системы запоминают от трех до пяти ранее используемых паролей, однако есть и такие, которые хранят до 20 и более. История паролей не занимает существенного объема памяти, поэтому есть смысл ее хранить.
Несмотря на установку сроков действия и историю, некоторые пользователи всё же используют один и тот же пароль повторно. Они обходят эти меры безопасности, переустанавливая свои пароли столько раз, сколько потребуется для заполнения списка истории, а затем устанавливают этот же пароль как вновь введенный. Противодействием этому может послужить установка длинного списка истории и минимальные требования по срокам действия пароля. Минимальный срок действия пароля - это наименьшее количество времени, которое должно пройти до того, как пользователь сможет снова поменять пароль.
Подсказка: Минимальный срок действия пароля иногда может причинять неудобства, однако дня или даже часа может быть достаточно для того, чтобы пользователь не смог многократно переустанавливать пароль, пытаясь заполнить список истории. Если вы устанавливаете минимальный срок действия пароля, убедитесь, что администраторы могут отменить эту меру.
Пароли - это не что иное, как засекреченное слово или фраза. При достаточном количестве времени взломщик, в конце концов, вычислит пароль методом прямого подбора или взломает уязвимые места операционной системы или приложении. При устаревании пароля увеличивается риск подбора этого пароля хакером. Более того, если злоумышленник завладеет паролем и законный владелец это не обнаружит, злонамеренный доступ будет продолжаться до тех нор, пока пароль будет оставаться действительным. Без установки срока действия пароля злоумышленник будет залезать на аккаунт до тех пор, пока пользователь вручную не поменяет свой пароль.
Установка срока действия пароля и история требуют дополнительных полей базы данных, чтобы проследить, когда пароль был установлен, и иметь возможность хранить список недавних паролей. Также существует дополнительное процессорное требование хэширования пароля и сравнения его с каждым входом списка истории. Можно устанавливать различные сроки действия пароля, как для индивидуальных пользователей, так и для групп, или выбрать единый подход для всей системы. Преимуществом единого метода для всей системы является то, что вы можете «угасить», сделать недействительными все пароли одновременно в случае крайней необходимости, например, если осуществлено вторжение на сервер.
Дату истечения срока действия пароля нужно проверять сразу же после того, как пользователь успешно пройдет аутентификацию в системе, но до того, как ему будет разрешен вход в систему. Если вы организовали аутентификацию с использованием одной библиотеки, вам будет легче выполнять проверку срока действия пароля. Если срок действия пароля ещё не истек, но уже близок к этой дате, можно предупредить пользователя о скором окончании срока действия пароля.
Перед тем как присваивать пользователю новый пароль, проверьте историю пароля и минимальный срок действия пароля.
Выводы:
1. Установите максимальный срок действия пароля, подходящий вашему приложению и пользователям;
2. Сохраняйте список недавних паролей для предупреждения их повторного использования;
3. Если возможно, определите минимальный временной интервал между переустановкой паролей.
Много нового узнал, спасибо.