Bir çox İT sistemlərində parolların vaxtaşırı dəyişdirilməsinin məcburi qaydası var. Bu, bəlkə də təhlükəsizlik sistemlərinin ən nifrət edilən və ən yararsız tələbidir. Bəzi istifadəçilər sadəcə olaraq sondakı nömrəni life hack kimi dəyişirlər.

Bu təcrübə bir çox narahatlığa səbəb oldu. Ancaq buna görə insanlar dözməli oldular təhlükəsizlik naminə. İndi bu məsləhət tamamilə əhəmiyyətsizdir. 2019-cu ilin may ayında hətta Microsoft nəhayət, Windows 10-un şəxsi və server versiyaları üçün təhlükəsizlik tələblərinin əsas səviyyəsindən dövri parol dəyişikliyi tələbini aradan qaldırdı: burada rəsmi bloq bəyanatı Windows 10 v 1903 versiyasına edilən dəyişikliklərin siyahısı ilə (ifadəyə diqqət yetirin Parolun vaxtaşırı dəyişdirilməsini tələb edən parol müddətinin başa çatması siyasətinin ləğvi). Qaydaların özləri və sistem siyasətləri Windows 10 Version 1903 və Windows Server 2019 Təhlükəsizlik Əsası dəstinə daxildir Microsoft Təhlükəsizlik Uyğunluğu Alətlər dəsti 1.0.

Bu sənədləri rəhbərlərinizə göstərib deyə bilərsiniz: zaman dəyişib. Məcburi parol dəyişiklikləri arxaikdir, indi demək olar ki, rəsmidir. Hətta təhlükəsizlik auditi artıq bu tələbi yoxlamayacaq (əgər bu, Windows kompüterlərinin əsas mühafizəsi üçün rəsmi qaydalara əsaslanırsa).


Windows 10 v1809 üçün əsas təhlükəsizlik siyasətləri və 1903-cü ildə dəyişiklikləri olan siyahının fraqmenti, burada müvafiq parolun müddəti bitmə siyasətləri artıq tətbiq olunmur. Yeri gəlmişkən, yeni versiyada administrator və qonaq hesabları da standart olaraq ləğv edilir

Microsoft bloq yazısında məcburi parol dəyişikliyi qaydasından niyə imtina etdiyini məşhur şəkildə izah edir: “Parolun dövri sona çatması yalnız parolun (və ya hashın) ömrü boyu oğurlanması və icazəsiz şəxs tərəfindən istifadə edilməsi ehtimalından qoruyur. Əgər parol oğurlanmayıbsa, onu dəyişdirməyin mənası yoxdur. Parolun oğurlandığına dair sübutunuz varsa, problemi həll etmək üçün onun müddətinin bitməsini gözləmək əvəzinə dərhal hərəkətə keçmək istərdiniz."

Microsoft daha sonra izah edir ki, müasir mühitdə bu üsuldan istifadə etməklə parol oğurluğundan qorunmaq məqsədəuyğun deyil: “Əgər parolun oğurlanması ehtimalı məlumdursa, oğruya neçə gün icazə vermək məqbul bir müddətdir. oğurlanmış paroldan istifadə edirsiniz? Varsayılan dəyər 42 gündür. Bu, gülməli uzun müddət kimi görünmürmü? Həqiqətən, bu, çox uzun müddətdir və buna baxmayaraq, hazırkı bazamız 60 gün - əvvəllər isə 90 gün olaraq təyin edilmişdir - çünki tez-tez istifadə müddətini uzatmaq öz problemlərini yaradır. Əgər parol mütləq oğurlanmayıbsa, deməli, bu problemləri heç bir fayda vermədən əldə edirsiniz. Bundan əlavə, əgər istifadəçiləriniz şirniyyat üçün parol alqı-satqı etməyə hazırdırsa, heç bir parolun istifadə müddəti bitmə siyasəti kömək etməyəcək.”

Альтернатива

Microsoft yazır ki, onun əsas təhlükəsizlik siyasətləri yaxşı idarə olunan, təhlükəsizlik baxımından şüurlu bizneslər tərəfindən istifadə üçün nəzərdə tutulub. Onlar həmçinin auditorlara təlimat vermək üçün nəzərdə tutulub. Əgər belə bir təşkilat qadağan olunmuş parol siyahılarını, çox faktorlu autentifikasiyanı, parolun kobud güc hücumunun aşkar edilməsini və anomal giriş cəhdinin aşkar edilməsini həyata keçiribsə, parolun vaxtaşırı müddətinin başa çatması tələb olunurmu? Əgər müasir təhlükəsizlik tədbirlərini həyata keçirməyiblərsə, parolun istifadə müddəti onlara kömək edəcəkmi?

Microsoftun məntiqi təəccüblü dərəcədə inandırıcıdır. Bizim iki seçimimiz var:

1. Şirkət müasir təhlükəsizlik tədbirləri həyata keçirib.
2. şirkət heç bir müasir təhlükəsizlik tədbirləri tətbiq etmişdir.

Birinci halda, parolun vaxtaşırı dəyişdirilməsi əlavə üstünlüklər vermir.

İkinci halda, parolun vaxtaşırı dəyişdirilməsi faydasızdır.

Beləliklə, parolun son istifadə tarixi əvəzinə, ilk növbədə, çoxfaktorlu autentifikasiya. Əlavə təhlükəsizlik tədbirləri yuxarıda verilmişdir: qadağan olunmuş parolların siyahıları, kobud gücün aşkarlanması və digər anormal giriş cəhdləri.

«Parolun dövri istifadə müddəti köhnə və köhnəlmiş təhlükəsizlik tədbiridir", Microsoft belə qənaətə gəlir, "və biz inanmırıq ki, bizim əsas qoruma səviyyəmizə tətbiq etməyə dəyər hər hansı xüsusi dəyər var. Onu bazamızdan çıxarmaqla, təşkilatlar tövsiyələrimizlə ziddiyyət təşkil etmədən öz ehtiyaclarına ən uyğun olanı seçə bilərlər.”

Buraxılış

Əgər bu gün bir şirkət istifadəçiləri vaxtaşırı parollarını dəyişməyə məcbur edirsə, kənar müşahidəçi nə düşünə bilər?

1. Verilənlər: şirkət arxaik müdafiə mexanizmindən istifadə edir.
2. Fərziyyə: şirkətdə müasir qoruyucu mexanizmlər tətbiq edilməyib.
3. Nəticə: bu parolları əldə etmək və istifadə etmək daha asandır.

Məlum olub ki, parolların vaxtaşırı dəyişdirilməsi şirkəti hücumlar üçün daha cəlbedici hədəfə çevirir.

Mənbə: www.habr.com