ProHoster > Blog > administrasie > Om wagwoorde periodiek te verander is 'n verouderde praktyk, dit is tyd om dit te laat vaar

Om wagwoorde periodiek te verander is 'n verouderde praktyk, dit is tyd om dit te laat vaar

Baie IT-stelsels het 'n verpligte reël om wagwoorde periodiek te verander. Dit is miskien die mees gehate en mees nuttelose vereiste van sekuriteitstelsels. Sommige gebruikers verander eenvoudig die nommer aan die einde as 'n life hack.

Hierdie praktyk het baie ongerief veroorsaak. Mense moes egter verduur, want dit ter wille van veiligheid. Nou is hierdie raad heeltemal irrelevant. In Mei 2019 het selfs Microsoft uiteindelik die vereiste vir periodieke wagwoordveranderinge verwyder van die basiese vlak van sekuriteitsvereistes vir persoonlike en bedienerweergawes van Windows 10: hier amptelike blogverklaring met 'n lys van veranderinge aan weergawe Windows 10 v 1903 (let op die frase Laat vaar die wagwoordvervalbeleide wat periodieke wagwoordveranderings vereis). Die reëls self en stelselbeleide Windows 10 Weergawe 1903 en Windows Server 2019 Sekuriteitsbasislyn ingesluit in die kit Microsoft Security Compliance Toolkit 1.0.

Jy kan hierdie dokumente aan jou meerderes wys en sê: tye het verander. Verpligte wagwoordveranderings is argaïes, nou amper amptelik. Selfs 'n sekuriteitsoudit sal nie meer hierdie vereiste kontroleer nie (as dit gebaseer is op die amptelike reëls vir basiese beskerming van Windows-rekenaars).

Om wagwoorde periodiek te verander is 'n verouderde praktyk, dit is tyd om dit te laat vaar
'n Fragment van 'n lys met basiese sekuriteitsbeleide vir Windows 10 v1809 en veranderinge in 1903, waar die ooreenstemmende wagwoordvervalbeleid nie meer van toepassing is nie. Terloops, in die nuwe weergawe word administrateur- en gasrekeninge ook by verstek gekanselleer

Microsoft verduidelik beroemd in 'n blogplasing waarom dit die verpligte wagwoordveranderingsreël laat vaar het: "Periodiese wagwoordverval beskerm slegs teen die moontlikheid dat die wagwoord (of hash) gedurende sy leeftyd gesteel sal word en deur 'n ongemagtigde persoon gebruik word. As die wagwoord nie gesteel word nie, is dit geen sin om dit te verander nie. En as jy bewyse het dat ’n wagwoord gesteel is, sal jy natuurlik dadelik wil optree eerder as om te wag totdat dit verval om die probleem op te los.”

Microsoft gaan voort om te verduidelik dat dit in vandag se omgewing nie gepas is om teen wagwoorddiefstal deur hierdie metode te beskerm nie: “As dit bekend is dat 'n wagwoord waarskynlik gesteel sal word, hoeveel dae is 'n aanvaarbare tydperk om 'n dief toe te laat om gebruik daardie gesteelde wagwoord? Die verstekwaarde is 42 dae. Lyk dit nie na 'n belaglike lang tyd nie? Inderdaad, dit is 'n baie lang tyd, en tog is ons huidige basislyn op 60 dae gestel - en voorheen op 90 dae - omdat die afdwinging van gereelde vervaldatums sy eie probleme stel. En as die wagwoord nie noodwendig gesteel word nie, verkry jy hierdie probleme sonder voordeel. Boonop, as u gebruikers bereid is om 'n wagwoord vir lekkergoed te verruil, sal geen wagwoordvervalbeleid help nie."

Альтернатива

Microsoft skryf dat sy basislyn sekuriteitsbeleide bedoel is vir gebruik deur goed bestuurde, sekuriteitsbewuste besighede. Hulle is ook bedoel om leiding aan ouditeure te verskaf. As so 'n organisasie verbode wagwoordlyste, multi-faktor-verifikasie, bespeuring van 'n brute force-aanval van wagwoorde en opsporing van onreëlmatige aanmeldpogings geïmplementeer het, word periodieke wagwoordverval vereis? En as hulle nie moderne sekuriteitsmaatreëls geïmplementeer het nie, sal wagwoordverval hulle help?

Microsoft se logika is verbasend oortuigend. Ons het twee opsies:

  1. Die maatskappy het moderne veiligheidsmaatreëls ingestel.
  2. maatskappy geen het moderne veiligheidsmaatreëls ingestel.

In die eerste geval bied die periodieke verandering van die wagwoord nie bykomende voordele nie.

In die tweede geval is dit nutteloos om die wagwoord periodiek te verander.

Dus, in plaas van die wagwoordvervaldatum, moet u eerstens gebruik multi-faktor verifikasie. Bykomende sekuriteitsmaatreëls word hierbo gelys: lyste van verbode wagwoorde, opsporing van brute krag en ander abnormale aanmeldpogings.

«Periodieke wagwoordverval is 'n ou en verouderde sekuriteitsmaatreël", sluit Microsoft af, "en ons glo nie daar is enige spesifieke waarde wat die moeite werd is om op ons basislynbeskermingsvlak toe te pas nie. Deur dit van ons basislyn te verwyder, kan organisasies kies wat die beste by hul waargenome behoeftes pas sonder om met ons aanbevelings te bots.”

Output

As 'n maatskappy vandag gebruikers dwing om hul wagwoorde periodiek te verander, wat kan 'n buite-waarnemer dink?

  1. Gegee: die maatskappy gebruik 'n argaïese verdedigingsmeganisme.
  2. Aanname: die maatskappy het nie moderne beskermingsmeganismes geïmplementeer nie.
  3. Gevolgtrekking: hierdie wagwoorde is makliker om te verkry en te gebruik.

Dit blyk dat die periodieke verandering van wagwoorde 'n maatskappy 'n meer aantreklike teiken vir aanvalle maak.

Om wagwoorde periodiek te verander is 'n verouderde praktyk, dit is tyd om dit te laat vaar


Bron: will.com

Voeg 'n opmerking