web-dev-qa-db-fra.com

Comment attendre 24 heures pour changer à nouveau le mot de passe peut-il être sécurisé?

J'ai donc réussi à changer mon mot de passe sur un service pour le "mauvais" mot de passe, pour simplifier disons simplement que je l'ai changé en un mot de passe non sécurisé.

Maintenant, je voulais le changer en un mot de passe plus sécurisé, mais à la place, j'ai reçu un joli message d'erreur:

Le mot de passe que vous avez entré ne répond pas aux exigences de sécurité minimales.

Ce qui était intéressant, étant donné que ce nouveau mot de passe utilisait plus de lettres, plus de chiffres et plus de caractères spéciaux que le dernier mot de passe.

J'ai fait quelques recherches et découvert que le service que j'utilise a une règle de sécurité où vous devez attendre 24 heures avant de changer à nouveau le mot de passe.

J'ai demandé à mon fournisseur s'il pouvait modifier la réponse acceptée de ce lien, mais il a répondu qu'il ne pouvait pas le faire et que l'attente de 24 heures était "pour des raisons de sécurité".

Ce qui m'amène à ma question.

Comment attendre 24 heures pour changer à nouveau le mot de passe peut-il être sécurisé? Quels sont les avantages/inconvénients de faire attendre un utilisateur avant de pouvoir à nouveau modifier son mot de passe?

106
ZN13

En soi, la règle de ne permettre qu'un seul changement de mot de passe par jour n'ajoute aucune sécurité. Mais il vient souvent en complément d'une autre règle qui dit que le nouveau mot de passe doit être différent des n (généralement 2 ou 3) précédents.

La règle d'un changement par jour est une tentative pour éviter cette perversion triviale:

  • un utilisateur doit changer son mot de passe car il a atteint sa limite de temps
  • il le change en un nouveau mot de passe
  • il répète le changement immédiatement le nombre de mots de passe enregistrés moins un
  • il le change immédiatement de nouveau à l'original => hourra, toujours le même mot de passe qui est clairement ce que la première règle essayait d'empêcher ...

Ok, la règle pourrait être que le changement de mot de passe plusieurs fois en une seule journée ne déroule pas la dernière liste de mots de passe. Mais malheureusement, le premier est intégré dans de nombreux systèmes tandis que le second ne l'est pas ...

Autrement dit, ce n'est qu'une tentative pour forcer les utilisateurs non coopératifs à changer leur mot de passe en temps opportun.


Juste une analyse probabiliste triviale après des commentaires disant que permettre aux utilisateurs de ne jamais changer leur mot de passe n'est pas un problème de sécurité. Supposons que vous ayez un utilisateur assez sérieux et que le risque que son mot de passe soit compromis en une journée est de 1%. En supposant environ 20 jours de travail par mois, le risque d'être compromis dans un quart est d'environ 50% (11- 1/100) ^ 60)). Et après un an (200 jours de travail) nous atteignons 87%! Ok, 1% peut être élevé, et commence juste à 0,1% par jour, un seul sur 1000, assez négligeable n'est-ce pas? Mais après 1 an (200 jours de travail), le risque de commencer compromis est de près de 20% (18% pour être honnête). Si c'est le mot de passe pour les photos de vacances, je m'en fous, mais pour quelque chose de plus important, cela compte.

Cela signifie que l'essentiel est de --- (éduquer les utilisateurs et de les faire accepter les règles parce que nous savons tous que les règles peuvent facilement être contournées, et que si un utilisateur n'est pas d'accord avec elles, il ne le sera pas. coopérative. Mais demander aux utilisateurs de changer régulièrement leur mot de passe est une règle de sécurité de base, car les mots de passe peuvent être compromis sans que l'utilisateur ne s'en rende compte, et le seul moyen d'atténuation consiste à changer le mot de passe (probablement compromis).

128
Serge Ballesta

D'autres réponses ont couvert les avantages de sécurité possibles, mais un inconvénient majeur me vient à l'esprit: si un attaquant prend le contrôle d'un compte et change le mot de passe, il leur est garanti une fenêtre d'accès minimale de 24 heures, pendant laquelle l'utilisateur légitime ne peut pas retrouver l'accès à leur compte et verrouiller l'attaquant.

Pire, en changeant le mot de passe toutes les 24 heures, ils peuvent continuer à maintenir l'accès indéfiniment, à moins que l'utilisateur ne soit très chanceux avec son timing.

24
user371366

Lorsqu'un élément comme un mot de passe est modifié sur un système distribué, la modification peut prendre un certain temps avant de prendre effet. Si plusieurs demandes de modification pouvaient être en attente simultanément, une complexité supplémentaire du code serait nécessaire pour garantir qu'elles sont toutes résolues correctement, en particulier si les demandes doivent inclure des informations sur l'ancien et le nouveau mot de passe forme de "delta"]. De tels problèmes ne seraient pas insurmontables, mais s'il était acceptable d'exiger que tout changement de mot de passe ait une chance de s'infiltrer dans le système avant qu'un autre puisse être émis, cela pourrait éviter une complexité importante.

9
supercat

Ajoutons un exemple réel de la raison pour laquelle cela peut être une bonne amélioration de la sécurité.

Disons que votre collègue ou quiconque a découvert votre mot de passe de webmailer (disons GMail il y a 7 ans, sans facteur 2). L'attaquant a accès à l'interface Web pour changer votre mot de passe (imaginez quelques raisons) et via POP3 dans vos mails. Étant donné que Google est un énorme réseau, il faut un certain temps pour que les anciens mots de passe soient désactivés pour l'accès POP3. Cela donne à l'attaquant la possibilité de réinitialiser votre mot de passe encore et encore. Même si vous regagnez l'accès avec la fonction de réinitialisation et que vous vous validez avec l'accès à votre boîte aux lettres sur votre smartphone ou une stratégie de réinitialisation via SMS vers votre smartphone, l'attaquant (qui a toujours accès à votre boîte aux lettres via POP3) avec l'ancien ou ses propres mots de passe) peut réinitialiser votre mot de passe.

Avec une telle attaque, la victime ne peut pas vous enfermer éternellement, car l'attaquant ne peut pas supprimer une stratégie de réinitialisation comme un numéro SMS - mais il indique sûrement un risque très élevé.

Ce vecteur d'attaque est facilement évitable, si les changements de mot de passe ne sont possibles que toutes les 24 heures.

2
Ludwig Behm

Je pense que c'est correctement défini quand ils ont dit que c'était pour des raisons de sécurité.

Soi-disant si quelqu'un a piraté votre compte, vous devriez recevoir une sorte de notification indiquant que la connexion à partir d'un nouvel appareil ou d'un nouveau lieu de travail a été détectée. En ces termes, cette fonctionnalité de sécurité dépendra totalement du support qui suit votre problème, et s'ils répondent assez rapidement, vous obtiendrez un nouveau mot de passe modifié conformément à leurs politiques de sécurité en cas de piratage.

Mais nous pouvons également supposer que ce n'est pas la meilleure politique, donc ils devraient imposer plus de restrictions s'ils ont gardé un minimum de 24 heures si vous voulez changer à nouveau votre mot de passe.

2
Jibin Philipose