¿Perdiste tu contraseña? Desmitifica cómo tu contraseña fue robada

No importa la contraseña que establezca, debe guardarla, pero algunos usuarios encuentran que sus contraseñas a menudo se pierden. ¿Es demasiado simple para establecer la contraseña? De hecho, las cosas no son tan simples. Es fácil para los piratas informáticos robar sus contraseñas, pero Si son robados, conozca el pirata informático o los medios deshonestos, solo haga una prevención específica, el buen hábito de usar la computadora es lo más importante — —

Por supuesto, intentaremos proteger la contraseña La seguridad, como aumentar la longitud de la contraseña, usar una sintaxis compleja y caracteres especiales, etc., ayuda a aumentar la seguridad de la contraseña. Estos métodos a menudo requieren que cambie su contraseña cada 90 días, pero lo extraño es que no ve nada obvio. Beneficios

Los malos generalmente obtienen su contraseña de cuatro formas básicas:

(A) Consulta directa, la llamada "pesca" e "ingeniería social" El ataque aún está en curso y siempre es válido.

(B) Intente usar la fuente para que coincida con el cuadro de diálogo, espere obtener buena suerte

(C) Obtenga la contraseña cifrada o el código hash, Descifrar a su vez

(D) Usar un software malintencionado como Keylogger para obtener una contraseña cuando la escribe en su computadora

Estas cuatro situaciones no se deben a que cambie su contraseña cada 90 días. Aléjate de ti. Si los malos no pueden romper el código hash (C) en unos pocos días, es probable que encuentre un objetivo más fácil. El ataque (B) también es una solución rápida. Los malos usualmente solo usan los primeros cientos de palabras. Si no funcionan, se dirigirán a otras presas más fáciles. Si el ataque (B) o (C) es exitoso, o si el atacante conoce la contraseña a través de un (A) o (D) más simple, entonces solo necesitan un promedio de 45 días para completar su cuenta bancaria, o Su dirección de correo electrónico se convierte en una plaza fuerte para el spam.

En los últimos 25 años, el concepto de caducidad de la contraseña no ha cambiado. Los requisitos de los técnicos de seguridad de la información, auditores, PCI, ISO27002 y COBIT permanecen sin cambios, pero la amenaza ha cambiado mucho. A menudo, los usuarios con contraseñas débiles solo serán reemplazados por otra contraseña vulnerable. Forzar a un usuario con una contraseña muy alta para cambiar la contraseña eventualmente lo molestará y usará una contraseña simple.

Entonces, ¿cuál es el significado del ciclo de cambio de contraseña de 90 días? Hay un beneficio real. Es decir, si alguien tiene su contraseña y todo lo que quiere hacer es simplemente leer en secreto su correo electrónico, entonces cambiar su contraseña puede impedir que lo hagan por siempre. Cambiar tu contraseña con regularidad no protege contra los atacantes malintencionados que quieren robar tus secretos, pero te saca de las zapatillas de deporte o snoopers. Eso es correcto, esto es bueno. Sin embargo, ¿vale la pena obligar al usuario a cambiar la contraseña cada 90 días sin ningún problema? Tengo algunas dudas.

El principal trabajo de la administración de riesgos de seguridad de la información debe ser identificar amenazas y vulnerabilidades y luego elegir contramedidas. Sin embargo, si no es probable que la contramedida elegida reduzca la amenaza identificada, entonces no ayuda en el trabajo de seguridad.

Por supuesto, los "estándares de mejores prácticas" proporcionados por las partes y los comisionados del departamento de auditoría nos obligarán a usarlo.