Com que frequência você altera sua senha de administrador / root?

Vamos fazer um cálculo rápido (e esquecer as práticas recomendadas por um momento):

Assuma um prazo de seis meses para um invasor invadir seu sistema. Vamos supor também que as senhas sejam escolhidas aleatoriamente de um conjunto de caracteres de tamanho 62.

Cenário 1: Você usa uma senha de 9 caracteres durante os seis meses inteiros.

Cenário 2: Você usa uma senha de 9 caracteres para os primeiros três meses e uma senha diferente de 9 caracteres para os três monts restantes.

Cenário 3: Você usa uma senha de 10 caracteres para os seis meses inteiros.

Em Cenário 1 , um atacante de força bruta hackeia sua conta com 100% de certeza, se ele conseguir fazer 62 ^ 9 tentativas nesse tempo.

Em Cenário 2 , se ele puder fazer apenas (62 ^ 9) / 2 tentativas na metade do tempo (três meses), ele hackeará a conta com 50% de certeza. No segundo tempo, ele terá outra chance com 50% de certeza. Então, estatisticamente, ele hackeia a conta com 75% de certeza.

No Cenário 3 , ele terá 62 ^ 9 tentativas durante os seis meses inteiros. Mas existem 62 ^ 10 possibilidades. Então, ele vai hackear a conta apenas com 1/62 de certeza, ou seja, cerca de 1,6%.

Portanto, se deixarmos todos os outros fatores (como senhas roubadas e outros tipos de ataques), a recomendação seria escolher senhas mais longas do que usar senhas mais curtas (ou mais simples), mesmo que elas sejam alteradas com mais frequência. Especialmente, porque em Cenário 3 , há apenas 10 caracteres para lembrar, enquanto em Cenário 2 , são 18 caracteres.

Somos principalmente janelas, e cada um dos administradores tem sua própria conta de administrador de domínio, e confiamos um no outro para ter senhas strongs e alterá-las de vez em quando. Tenho certeza de que todos têm senhas strongs porque usamos a pressão dos colegas para garantir que sejam longos e tenham números e / ou caracteres neles, mas não os alteramos com frequência suficiente. \

ADICIONADO: Até agora, a maioria das pessoas provavelmente já ouviu isso, mas apenas no caso. O especialista em criptografia e segurança, Bruce Schneier, diz que você deve ter senhas strongs e anotá-las.

Embora, teoricamente, seria muito melhor mudar as senhas com frequência, o fator "vamos-escrever-o-baixo-em-um-post-it" aumenta exponencialmente à medida que o período de validade diminui.

Se for para uso privado, por que não usar autenticação de chave pública e ter apenas um bom PW para o seu chaveiro?

Você está realmente falando sobre a conta de Administrador do domínio (SID: S-1-5-21domain-500) ou está falando sobre a conta de administrador que criou para si mesmo, para poder obter registros úteis sobre quem faz o quê? ?

Geralmente, configuro a conta do Administrador para ter uma senha longa (com mais de 20 caracteres) e a guardo em um local seguro, sem nunca usá-la. Geralmente, só mudo essa senha todos os anos. Nossa rede também possui sistemas de bloqueio, o que deve impedir que ataques remotos de força bruta sejam sempre muito eficazes. Como eu nunca uso a senha para as tarefas do dia-a-dia, a probabilidade de ser interceptada é quase inexistente.

Se você está falando da minha conta pessoal, eu concedo privilégios de administrador e tento alterá-lo a cada 6 meses. Eu também tendem a usar autenticação baseada em chave sempre que possível, para que minha senha seja raramente transmitida em qualquer lugar. Eu também não costumo trabalhar com o que eu acho que a maioria das pessoas consideraria sistemas de alto risco.

Não importa quantas senhas complexas você esteja configurando. É sempre uma boa prática alterar sua senha a cada 30 a 42 dias. 6 meses é senha muito antiga. Deve sempre haver uma boa política de senha implementada para se manter seguro e protegido :-)

Normalmente, só restaurei as senhas root depois que um membro da equipe foi embora ... mas incentivo os usuários com acesso sudo a alterarem a senha a cada 90 dias.