Parechji sistemi IT anu una regula ubligatoria di cambià periodicamente e password. Questu hè forse u requisitu più odiatu è più inutile di i sistemi di sicurezza. Certi utilizatori simpricimenti cambià u numeru à a fine cum'è un pirate di vita.
Sta pratica hà causatu assai inconvenienti. Tuttavia, a ghjente hà avutu a suppurtà, perchè questu per a salvezza. Avà stu cunsigliu hè cumplettamente irrilevante. In Maghju 2019, ancu Microsoft hà finalmente eliminatu l'esigenza di cambiamenti periodichi di password da u livellu di basa di esigenze di sicurezza per e versioni persunale è di u servitore di Windows 10: quì
Pudete vede sti documenti à i vostri superiori è dì : i tempi sò cambiati. I cambiamenti obbligatori di password sò arcaici, avà quasi ufficiale. Ancu un auditu di sicurità ùn verificarà più stu requisitu (se hè basatu annantu à e regule ufficiali per a prutezzione di basa di l'urdinatori Windows).
Un frammentu di una lista cù e pulitiche di sicurezza basiche per Windows 10 v1809 è cambiamenti in 1903, induve e pulitiche di scadenza di password currispondenti ùn sò più applicate. In modu, in a nova versione, i cunti di l'amministratore è di l'ospiti sò ancu annullati per automaticamente
Microsoft famosu spiega in un post di blog perchè abbandunò a regula di u cambiamentu di password obligatoriu: "A scadenza periodica di a password prutege solu da a pussibilità chì a password (o hash) serà arrubbata durante a so vita è utilizata da una persona micca autorizata. Se a password ùn hè micca arrubbata, ùn ci hè nunda di cambià. È se avete evidenza chì una password hè stata arrubbata, ovviamente vulete agisce immediatamente invece di aspittà finu à a scadenza per risolve u prublema ".
Microsoft cuntinueghja à spiegà chì in l'ambienti d'oghje ùn hè micca apprupriatu per pruteggiri contra u furtu di password cù stu metudu: "Se hè cunnisciutu chì una password hè prubabilmente arrubbata, quanti ghjorni hè un periudu di tempu accettabile per permette à un latru di aduprà quella password arrubbata? U valore predeterminatu hè 42 ghjorni. Ùn vi pare micca un tempu ridiculamente longu ? In verità, questu hè un tempu assai longu, è ancu a nostra linea di basa attuale hè stata stabilita à 60 ghjorni - è prima à 90 ghjorni - perchè furzà scadenze frequenti introduce i so propri prublemi. È se a password ùn hè micca necessariamente arrubbata, allora avete acquistatu questi prublemi senza benefiziu. Inoltre, se i vostri utilizatori sò disposti à scambià una password per caramelle, nisuna pulitica di scadenza di password vi aiuterà.
Alternative
Microsoft scrive chì e so pulitiche di sicurezza di basa sò destinate à l'usu da imprese ben gestite è attente à a sicurità. Sò ancu destinati à furnisce una guida à l'auditori. Se una tale urganizazione hà implementatu listi di password pruibiti, autentificazione multifattore, rilevazione di attacchi di forza bruta di password, è rilevazione di tentativi di login anomali, hè necessaria una scadenza periodica di password? È s'ellu ùn anu micca implementatu e misure di sicurezza muderne, a scadenza di a password li aiuterà?
A logica di Microsoft hè sorprendentemente cunvincente. Avemu duie opzioni:
- A cumpagnia hà implementatu misure di sicurità muderni.
- A cumpagnia ùn hà introduttu misure di sicurità muderni.
In u primu casu, cambià periodicamente a password ùn furnisce micca benefici supplementari.
In u sicondu casu, cambià periodicamente a password hè inutile.
Cusì, invece di a data di scadenza di a password, avete bisognu di utilizà, prima di tuttu, l'autenticazione multifattore. E misure di sicurezza supplementari sò elencate sopra: liste di password pruibiti, rilevazione di forza bruta è altri tentativi di login anomali.
«A scadenza periodica di a password hè una misura di sicurezza antica è obsoleta", Microsoft cunclude, "è ùn credemu micca chì ci hè un valore specificu chì vale a pena applicà à u nostru livellu di prutezzione di basa. Eliminendulu da a nostra linea di basa, l'urganisazioni ponu sceglie ciò chì si adatta megliu à i so bisogni percepiti senza cunflittu cù e nostre raccomandazioni ".
cunchiusioni
Se una sucietà oghje forza à l'utilizatori à cambià i so password periodicamente, chì puderia pensà un observatore esterno?
- Dà: a cumpagnia usa un mecanismu di difesa arcaicu.
- Assunta: a cumpagnia ùn hà micca implementatu miccanismi di prutezzione muderni.
- Cunsigliu: sti password sò più faciuli à ottene è aduprà.
Risulta chì i cambiamenti periodichi di password facenu una cumpagnia un scopu più attraente per attacchi.
Source: www.habr.com