recomendación para cambiar las frases de contraseña de unidades cifradas

Navega tus respuestas
2

Existen numerosas recomendaciones sobre la frecuencia con la que se cambian las frases de acceso de los usuarios, y creo que la recomendación más reciente del NIST es "no hay un tiempo mínimo para cambiar las contraseñas" (es posible que haya una cita incorrecta). ¿Son las recomendaciones y la lógica subyacentes lo mismo para las frases de contraseña de unidad cifradas?

Por ejemplo, LUKS cryptsetup tiene varias bandejas para frases de paso individuales, cada una de las cuales puede descifrar la clave maestra de la unidad. Hay mucha documentación sobre cómo para cambiar la frase de contraseña: agregue una nueva frase de contraseña a un contenedor no utilizado, verifique que funcione, luego elimine / sobrescriba la ubicación de la frase de contraseña anterior. Pero no puedo encontrar documentación que sugiera con qué frecuencia se debe hacer.

    
pregunta r2evans 02.05.2018 - 22:37
fuente

1 respuesta

2

Si no hay razón para sospechar que se conoce la contraseña o que otra persona la puede adivinar razonablemente, entonces no hay razón para cambiarla.

La contraseña es o podría ser conocida por otra persona:

  • ha sido robada, adivinada o forzada por la fuerza bruta
  • nota cambios extraños en sus cuentas o líneas sospechosas en sus registros, etc. por lo que alguien podría estar usando su contraseña
  • su máquina ha sido infectada, por lo que cualquier contraseña que haya ingresado últimamente podría haber sido robada
  • se entregó a otras personas a propósito (por ejemplo, para obtener ayuda, etc.)

La contraseña se puede adivinar razonablemente (contraseña débil o debilitada):

  • un atacante ha robado un hash de su contraseña, o ha robado un archivo cifrado con su contraseña (pueden atacar con fuerza bruta con hardware y software dedicado)
  • usa una contraseña débil, o incluso usa la contraseña predeterminada proporcionada por el servicio o dispositivo
  • se ve obligado a usar una contraseña débil (como un PIN numérico) que podría forzarse de forma bruta en un tiempo razonablemente corto, por lo que debe cambiarla con regularidad para que el atacante tenga dificultades para obtener acceso continuo
  • utiliza la misma contraseña para dos o más propósitos diferentes, y eso hace que sea más probable que sea robado o adivinado

Por ejemplo, para un disco duro encriptado, esto significa que debe cambiar la contraseña si sospecha que su compañero de trabajo curioso que siempre está mirando su teclado lo ha visto o finalmente ha podido averiguarlo. O, por ejemplo, debería cambiarlo si alguien robó de alguna manera una copia de su HDD (también podría ser una copia de respaldo), porque entonces el atacante puede intentar forzar la fuerza bruta con mayor facilidad (con software o hardware específico). Si finalmente encuentran la contraseña, podrán leer todos sus datos en la copia HDD robada, pero al menos no podrán volver y usar esa misma contraseña para volver a leer fácilmente toda su HDD (porque ha cambiado la contraseña) . Otro ejemplo: debe cambiar la contraseña de su HDD si está usando la misma contraseña que su WIFI, y le está dando su contraseña WIFI a todos sus amigos para que puedan acceder a Internet en su hogar. Por supuesto, esas contraseñas deberían ser diferentes.

    
respondido por el reed 03.05.2018 - 02:16
fuente

Lea otras preguntas en las etiquetas

¿Por qué la pseudo autenticación con OAuth fue más exitosa que la autenticación real con OpenID? Entidades certificadas de confianza oficiales