لدى العديد من أنظمة تكنولوجيا المعلومات قاعدة إلزامية لتغيير كلمات المرور بشكل دوري. ربما يكون هذا هو الشرط الأكثر كرهًا والأكثر عديمة الفائدة لأنظمة الأمان. يقوم بعض المستخدمين ببساطة بتغيير الرقم في النهاية كاختراق للحياة.
تسببت هذه الممارسة في الكثير من الإزعاج. ومع ذلك، كان على الناس أن يتحملوا، لأن هذا من أجل السلامة. الآن هذه النصيحة غير ذات صلة على الإطلاق. في مايو 2019، قامت Microsoft أخيرًا بإزالة متطلبات التغييرات الدورية لكلمة المرور من المستوى الأساسي لمتطلبات الأمان للإصدارات الشخصية وإصدارات الخادم من Windows 10: هنا مع قائمة التغييرات على الإصدار Windows 10 v 1903 (لاحظ عبارة إسقاط سياسات انتهاء صلاحية كلمة المرور التي تتطلب تغييرات دورية لكلمة المرور). القواعد نفسها وسياسات النظام Windows 10 الإصدار 1903 وWindows Server 2019 Security Baseline المدرجة في المجموعة .
يمكنك عرض هذه المستندات على رؤسائك والقول: لقد تغير الزمن. إن التغييرات الإلزامية لكلمة المرور قديمة، وأصبحت الآن رسمية تقريبًا. حتى التدقيق الأمني لن يتحقق بعد الآن من هذا المطلب (إذا كان يعتمد على القواعد الرسمية للحماية الأساسية لأجهزة الكمبيوتر التي تعمل بنظام Windows).
جزء من قائمة تحتوي على سياسات الأمان الأساسية لنظام التشغيل Windows 10 v1809 والتغييرات في عام 1903، حيث لم تعد سياسات انتهاء صلاحية كلمة المرور المقابلة قابلة للتطبيق. بالمناسبة، في الإصدار الجديد، يتم إلغاء حسابات المسؤول والضيف أيضًا بشكل افتراضي
تشرح Microsoft بشكل مشهور في منشور على مدونتها سبب تخليها عن قاعدة تغيير كلمة المرور الإلزامية: "انتهاء صلاحية كلمة المرور بشكل دوري يحمي فقط من احتمال سرقة كلمة المرور (أو التجزئة) خلال عمرها الافتراضي واستخدامها من قبل شخص غير مصرح له. إذا لم تتم سرقة كلمة المرور، فلا فائدة من تغييرها. وإذا كان لديك دليل على سرقة كلمة المرور، فمن الواضح أنك ستحتاج إلى التصرف فورًا بدلاً من الانتظار حتى انتهاء صلاحيتها لإصلاح المشكلة.
وتستمر مايكروسوفت في توضيح أنه في بيئة اليوم ليس من المناسب الحماية من سرقة كلمة المرور باستخدام هذه الطريقة: "إذا كان من المعروف أن كلمة المرور من المحتمل أن تتم سرقتها، فكم عدد الأيام التي تعتبر فترة زمنية مقبولة للسماح للسارق بسرقة كلمة المرور؟" استخدام كلمة المرور المسروقة؟ القيمة الافتراضية هي 42 يومًا. ألا يبدو ذلك وكأنه وقت طويل يبعث على السخرية؟ والواقع أن هذه فترة طويلة للغاية، ورغم ذلك تم تحديد خط الأساس الحالي لدينا عند ستين يوماً ــ وفي السابق عند 60 يوماً ــ لأن فرض فترات انتهاء الصلاحية المتكررة يؤدي إلى مشاكل خاصة به. وإذا لم تكن كلمة المرور مسروقة بالضرورة، فأنت تكتسب هذه المشاكل دون أي فائدة. علاوة على ذلك، إذا كان المستخدمون لديك على استعداد لاستبدال كلمة المرور بالحلوى، فلن تساعد سياسة انتهاء صلاحية كلمة المرور.
البديل
كتبت Microsoft أن سياسات الأمان الأساسية الخاصة بها مخصصة للاستخدام من قبل الشركات ذات الإدارة الجيدة والوعي الأمني. وتهدف أيضًا إلى تقديم التوجيه للمراجعين. إذا قامت مثل هذه المؤسسة بتنفيذ قوائم كلمات المرور المحظورة، والمصادقة متعددة العوامل، واكتشاف هجوم القوة الغاشمة لكلمة المرور، واكتشاف محاولات تسجيل الدخول الشاذة، فهل يلزم انتهاء صلاحية كلمة المرور بشكل دوري؟ وإذا لم ينفذوا الإجراءات الأمنية الحديثة، فهل سيساعدهم انتهاء صلاحية كلمة المرور؟
منطق مايكروسوفت مقنع بشكل مدهش. لدينا خياران:
- قامت الشركة بتنفيذ إجراءات أمنية حديثة.
- شركة لا أدخلت تدابير أمنية حديثة.
في الحالة الأولى، لا يوفر تغيير كلمة المرور بشكل دوري فوائد إضافية.
في الحالة الثانية، تغيير كلمة المرور بشكل دوري لا طائل منه.
وبالتالي، بدلًا من تاريخ انتهاء صلاحية كلمة المرور، عليك أولاً استخدام ما يلي: المصادقة متعددة العوامل. تم إدراج إجراءات أمنية إضافية أعلاه: قوائم كلمات المرور المحظورة، واكتشاف القوة الغاشمة ومحاولات تسجيل الدخول الشاذة الأخرى.
«يعد انتهاء صلاحية كلمة المرور بشكل دوري إجراءً أمنيًا قديمًا وعفا عليه الزمن"، تستنتج Microsoft، "ولا نعتقد أن هناك أي قيمة محددة تستحق التطبيق على مستوى الحماية الأساسي لدينا. ومن خلال إزالته من خط الأساس لدينا، يمكن للمؤسسات اختيار ما يناسب احتياجاتها المتصورة بشكل أفضل دون التعارض مع توصياتنا.
إنتاج
إذا قامت إحدى الشركات اليوم بإجبار المستخدمين على تغيير كلمات المرور الخاصة بهم بشكل دوري، فما الذي قد يفكر فيه مراقب خارجي؟
- الممنوحة: تستخدم الشركة آلية دفاع قديمة.
- افتراض: ولم تطبق الشركة آليات الحماية الحديثة.
- الخلاصة: من السهل الحصول على كلمات المرور هذه واستخدامها.
اتضح أن تغيير كلمات المرور بشكل دوري يجعل الشركة هدفًا أكثر جاذبية للهجمات.
المصدر: www.habr.com