Molts sistemes informàtics tenen una regla obligatòria de canviar periòdicament les contrasenyes. Aquest és potser el requisit més odiat i més inútil dels sistemes de seguretat. Alguns usuaris simplement canvien el número al final com un truc de la vida.

Aquesta pràctica va causar moltes molèsties. No obstant això, la gent va haver de suportar, perquè això per seguretat. Ara, aquest consell és completament irrellevant. El maig de 2019, fins i tot Microsoft va eliminar finalment el requisit de canvis periòdics de contrasenya del nivell bàsic de requisits de seguretat per a les versions personals i de servidor de Windows 10: aquí declaració oficial del bloc amb una llista de canvis a la versió Windows 10 v 1903 (tingueu en compte la frase Eliminar les polítiques de caducitat de contrasenyes que requereixen canvis periòdics de contrasenya). Les regles mateixes i les polítiques del sistema Windows 10 versió 1903 i Windows Server 2019 Security Baseline inclòs en el kit Microsoft Security Compliance Toolkit 1.0.

Podeu mostrar aquests documents als vostres superiors i dir: els temps han canviat. Els canvis obligatoris de contrasenya són arcaics, ara gairebé oficials. Fins i tot una auditoria de seguretat ja no comprovarà aquest requisit (si es basa en les normes oficials de protecció bàsica dels ordinadors Windows).


Un fragment d'una llista amb polítiques de seguretat bàsiques per a Windows 10 v1809 i canvis de 1903, on les polítiques de caducitat de contrasenyes corresponents ja no s'apliquen. Per cert, a la nova versió, els comptes d'administrador i convidat també es cancel·len per defecte

Microsoft explica famosament en una publicació al bloc per què va abandonar la regla de canvi obligatori de contrasenya: "La caducitat periòdica de la contrasenya només protegeix contra la possibilitat que la contrasenya (o hash) sigui robada durant la seva vida i utilitzada per una persona no autoritzada. Si la contrasenya no és robada, no té sentit canviar-la. I si teniu proves que s'ha robat una contrasenya, òbviament voldreu actuar immediatament en lloc d'esperar fins que caduqui per solucionar el problema".

Microsoft continua explicant que en l'entorn actual no és adequat protegir-se contra el robatori de contrasenyes mitjançant aquest mètode: "Si se sap que és probable que es roben una contrasenya, quants dies és un període de temps acceptable per permetre a un lladre utilitzar aquesta contrasenya robada? El valor predeterminat és 42 dies. No us sembla un temps ridículament llarg? De fet, això és un temps molt llarg i, tanmateix, la nostra línia de base actual es va establir en 60 dies, i anteriorment en 90 dies, perquè forçar caducitats freqüents introdueix els seus propis problemes. I si la contrasenya no és necessàriament robada, llavors vostè està adquirint aquests problemes sense cap benefici. A més, si els vostres usuaris estan disposats a canviar una contrasenya per caramels, cap política de caducitat de contrasenya us ajudarà".

Альтернатива

Microsoft escriu que les seves polítiques de seguretat de referència estan pensades per a empreses ben gestionades i conscients de la seguretat. També tenen la intenció de proporcionar orientació als auditors. Si aquesta organització ha implementat llistes de contrasenyes prohibides, autenticació multifactor, detecció d'atac de força bruta de contrasenya i detecció d'intents d'inici de sessió anòmals, és necessària la caducitat periòdica de la contrasenya? I si no han implementat mesures de seguretat modernes, els ajudarà la caducitat de la contrasenya?

La lògica de Microsoft és sorprenentment convincent. Tenim dues opcions:

1. L'empresa ha implementat modernes mesures de seguretat.
2. empresa no ha introduït mesures de seguretat modernes.

En el primer cas, canviar periòdicament la contrasenya no aporta avantatges addicionals.

En el segon cas, canviar periòdicament la contrasenya no serveix de res.

Per tant, en comptes de la data de caducitat de la contrasenya, cal utilitzar, en primer lloc, autenticació multifactor. Més amunt s'enumeren mesures de seguretat addicionals: llistes de contrasenyes prohibides, detecció de força bruta i altres intents d'inici de sessió anòmals.

«La caducitat periòdica de la contrasenya és una mesura de seguretat antiga i obsoleta”, conclou Microsoft, “i no creiem que hi hagi cap valor específic que valgui la pena utilitzar per al nostre nivell de protecció de referència. En eliminar-lo de la nostra línia de base, les organitzacions poden triar el que millor s'adapti a les seves necessitats percebudes sense entrar en conflicte amb les nostres recomanacions".

Sortida

Si avui una empresa obliga els usuaris a canviar les seves contrasenyes periòdicament, què podria pensar un observador extern?

1. Donat: l'empresa utilitza un mecanisme de defensa arcaic.
2. Suposició: l'empresa no ha implementat mecanismes de protecció moderns.
3. Conclusió: aquestes contrasenyes són més fàcils d'obtenir i utilitzar.

Resulta que el canvi periòdic de contrasenyes fa que una empresa sigui un objectiu més atractiu per als atacs.

Font: www.habr.com