Mnogi IT sistemi imaju obavezno pravilo periodične promene lozinki. Ovo je možda najomraženiji i najbeskorisniji zahtjev sigurnosnih sistema. Neki korisnici jednostavno mijenjaju broj na kraju kao life hack.

Ova praksa je izazvala dosta neugodnosti. Međutim, ljudi su morali da izdrže, jer ovo radi sigurnosti. Sada je ovaj savjet potpuno nevažan. U maju 2019. čak je i Microsoft konačno uklonio zahtjev za periodične promjene lozinki sa osnovnog nivoa sigurnosnih zahtjeva za lične i serverske verzije Windows 10: ovdje zvanična izjava na blogu sa listom promjena u verziji Windows 10 v 1903 (obratite pažnju na frazu Izbacivanje pravila isteka lozinke koja zahtijevaju periodične promjene lozinke). Sama pravila i sistemske politike Windows 10 verzija 1903 i Windows Server 2019 Sigurnosna osnova uključeno u komplet Microsoft Security Compliance Toolkit 1.0.

Ove dokumente možete pokazati nadređenima i reći: vremena su se promijenila. Obavezne promjene lozinke su arhaične, sada gotovo službene. Čak ni sigurnosna revizija više neće provjeriti ovaj zahtjev (ako je zasnovan na zvaničnim pravilima za osnovnu zaštitu Windows računara).


Fragment liste sa osnovnim sigurnosnim politikama za Windows 10 v1809 i promjenama u 1903., gdje se više ne primjenjuju odgovarajuće politike isteka lozinke. Inače, u novoj verziji, administratorski i gostujući računi su također po defaultu otkazani

Microsoft u svom blog postu čuveno objašnjava zašto je napustio pravilo obavezne promene lozinke: „Periodično isticanje lozinke samo štiti od mogućnosti da lozinka (ili heš) bude ukradena tokom njenog životnog veka i da je koristi neovlašćena osoba. Ako lozinka nije ukradena, nema smisla mijenjati je. A ako imate dokaz da je lozinka ukradena, očigledno ćete želeti da reagujete odmah, a ne da čekate da istekne da biste rešili problem."

Microsoft dalje objašnjava da u današnjem okruženju nije prikladno zaštititi se od krađe lozinke korištenjem ove metode: „Ako se zna da će lozinka vjerovatno biti ukradena, koliko dana je prihvatljiv vremenski period da se lopovima dozvoli da koristiti tu ukradenu lozinku? Zadana vrijednost je 42 dana. Ne čini li se to smiješno dugo? Zaista, ovo je jako dugo vrijeme, a ipak je naša trenutna osnova bila postavljena na 60 dana - a ranije na 90 dana - jer prisiljavanje čestih isteka uvodi svoje probleme. A ako lozinka nije nužno ukradena, onda dobijate ove probleme bez ikakve koristi. Osim toga, ako su vaši korisnici voljni zamijeniti lozinku za slatkiše, nikakva politika isteka lozinke neće pomoći.”

Альтернатива

Microsoft piše da su njegove osnovne sigurnosne politike namijenjene za dobro vođena preduzeća koja brinu o sigurnosti. Oni su također namijenjeni da pruže smjernice revizorima. Ako je takva organizacija implementirala liste zabranjenih lozinki, višefaktorsku autentifikaciju, otkrivanje napada grubom silom lozinkom i otkrivanje neuobičajenog pokušaja prijave, da li je potrebno periodično isticanje lozinke? A ako nisu implementirali moderne sigurnosne mjere, da li će im istek lozinke pomoći?

Microsoftova logika je iznenađujuće uvjerljiva. Imamo dvije opcije:

1. Kompanija je primenila savremene mere bezbednosti.
2. Firma ne je uveo savremene mere bezbednosti.

U prvom slučaju, periodična promjena lozinke ne pruža dodatne pogodnosti.

U drugom slučaju, periodična promjena lozinke je beskorisna.

Dakle, umjesto datuma isteka lozinke, morate prije svega koristiti višefaktorska autentikacija. Dodatne sigurnosne mjere su navedene gore: liste zabranjenih lozinki, otkrivanje grube sile i drugi anomalni pokušaji prijave.

«Periodični istek lozinke je drevna i zastarjela sigurnosna mjera", zaključuje Microsoft, "i ne vjerujemo da postoji bilo kakva posebna vrijednost vrijedna primjene na našem osnovnom nivou zaštite. Uklanjanjem iz naše osnove, organizacije mogu odabrati ono što najbolje odgovara njihovim percipiranim potrebama bez sukoba s našim preporukama.”

zaključak

Ako kompanija danas prisiljava korisnike da povremeno mijenjaju svoje lozinke, šta bi vanjski promatrač mogao pomisliti?

1. S obzirom: kompanija koristi arhaični odbrambeni mehanizam.
2. pretpostavka: kompanija nije implementirala moderne zaštitne mehanizme.
3. Zaključak: ove lozinke je lakše dobiti i koristiti.

Ispostavilo se da periodična promjena lozinki čini kompaniju privlačnijom metom za napade.

izvor: www.habr.com