У шматлікіх IT-сістэмах дзейнічае абавязковае правіла перыядычнай змены пароляў. Гэта, мабыць, самае ненавіснае і самае бескарыснае патрабаванне сістэм бяспекі. Некаторыя карыстальнікі ў якасці лайфхака проста мяняюць лічбу ў канцы.

Такая практыка выклікала масу нязручнасцяў. Аднак людзям даводзілася цярпець, бо гэта дзеля бяспекі. Зараз гэтая рада зусім не актуальная. У траўні 2019 гады нават кампанія Microsoft нарэшце-то прыбрала патрабаванне перыядычнай змены пароляў з базавага ўзроўня патрабаванняў бяспекі для персанальных і серверных версій Windows 10: вось афіцыйную заяву ў блогу са спісам змен да версіі Windows 10 v 1903 (звярніце ўвагу на фразу Пападаць password-expiration policies што патрабуе periodic password changes). Самі правілы і сістэмныя палітыкі Windows 10 Version 1903 і Windows Server 2019 Security Baseline унесены ў камплект Microsoft Security Compliance Toolkit 1.0.

Можаце паказаць гэтыя дакументы начальству і сказаць: час змяніўся. Абавязковая змена пароляў - архаізм, зараз практычна афіцыйна. Нават аўдыт бяспекі зараз не будзе правяраць гэтае патрабаванне (калі ён арыентуецца на афіцыйныя правілы па базавай абароне кампутараў пад Windows).


Фрагмент спісу з базавымі палітыкамі бяспекі Windows 10 v1809 і змены ў 1903, дзе адпаведныя палітыкі па часе дзеяння пароляў ужо не прымяняюцца. Дарэчы, у новай версіі па змаўчанні таксама адмяняюцца адміністратарскі і гасцявы акаўнты

Microsoft папулярна тлумачыць у блогу, чаму адмовілася ад правіла абавязковай змены пароля: «Перыядычнае заканчэнне тэрміна дзеяння пароля з'яўляецца абаронай толькі ад верагоднасці таго, што пароль (або хэш) будзе скрадзены на працягу яго тэрміна дзеяння і будзе выкарыстоўвацца неаўтарызаванай асобай. Калі пароль не скрадзены, няма сэнсу яго мяняць. І калі ў вас ёсць доказы таго, што пароль скрадзены, вы, відавочна, захочаце дзейнічаць неадкладна, а не чакаць заканчэнні тэрміну дзеяння, каб ухіліць праблему».

Далей Microsoft тлумачыць, што ў сучасных умовах няправільна абараняцца ад крадзяжу пароляў такім метадам: «Калі вядома, што пароль, верагодна, будзе скрадзены, колькі дзён з'яўляецца прымальным перыядам часу, каб дазволіць злодзею выкарыстоўваць гэты скрадзены пароль? Значэнне па змаўчанні - 42 дні. Хіба гэта не здаецца смяхотна доўгім часам? Сапраўды, гэта вельмі доўга, і ўсё ж наш бягучы базавы паказчык быў усталяваны на 60 дзён - а раней на 90 дзён - таму што фарсіраванне частага заканчэння ўводзіць свае ўласныя праблемы. І калі пароль не абавязкова будзе скрадзены, то вы набываеце гэтыя праблемы без карысці. Акрамя таго, калі вашы карыстальнікі гатовы абмяняць пароль на цукерку, ніякая палітыка заканчэння тэрміну дзеяння пароляў не дапаможа».

альтэрнатыва

Microsoft піша, што яе базавыя палітыкі бяспекі прызначаны для выкарыстання добра кіраванымі, якія клапоцяцца аб бяспецы прадпрыемствамі. Яны таксама закліканы служыць кіраўніцтвам для аўдытараў. Калі такая арганізацыя ўкараніла спісы забароненых пароляў, шматфактарную аўтэнтыфікацыю, выяўленне нападаў з брутфорсам пароляў і выяўленне анамальных спроб уваходу ў сістэму, ці патрабуецца перыядычнае заканчэнне тэрміна дзеяння пароля? А калі яны не ўкаранілі сучасныя сродкі абароны, то ці дапаможа ім заканчэнне тэрміна дзеяння пароля?

Логіка Microsoft на здзіўленне пераканаўчая. У нас два варыянты:

1. Кампанія ўкараніла сучасныя меры абароны.
2. кампанія ня укараніла сучасныя меры абароны.

У першым выпадку перыядычная змена пароля не дае дадатковых пераваг.

У другім выпадку перыядычная змена пароля бескарысная.

Такім чынам, замест тэрміна дзеяння пароля трэба выкарыстоўваць, у першую чаргу, шматфактарную аўтэнтыфікацыю. Дадатковыя меры абароны пералічаныя вышэй: спісы забароненых пароляў, выяўленне брутфорса і іншых анамальных спроб уваходу ў сістэму.

«Перыядычнае заканчэнне тэрміна дзеяння пароля з'яўляецца старажытнай і састарэлай мерай абароны, – падводзіць вынік Microsoft, – і мы не лічым, што для нашага ўзроўня базавай абароны варта ўжываць якое-небудзь пэўнае значэнне. Выдаляючы яго з нашага базавага ўзроўню, арганізацыі могуць выбіраць тое, што найлепшым чынам адпавядае іх меркаваным патрэбам, не супярэчачы нашым рэкамендацыям».

Выснова

Калі кампанія сёння прымушае карыстальнікаў перыядычна мяняць паролі, што можа падумаць іншы назіральнік?

1. Дадзена: кампанія выкарыстоўвае архаічны ахоўны механізм.
2. Меркаванне: кампанія не ўкараніла сучасныя ахоўныя механізмы.
3. Выснову: гэтыя паролі прасцей дастаць і выкарыстоўваць.

Атрымліваецца, што перыядычная змена пароляў робіць кампанію больш прывабнай мішэнню для нападаў.

Крыніца: habr.com