ProHoster > Blog > Amministrazione > U cambiamentu di password periodicamente hè una pratica obsoleta, hè ora di abbandunà

U cambiamentu di password periodicamente hè una pratica obsoleta, hè ora di abbandunà

Parechji sistemi IT anu una regula ubligatoria di cambià periodicamente e password. Questu hè forse u requisitu più odiatu è più inutile di i sistemi di sicurezza. Certi utilizatori simpricimenti cambià u numeru à a fine cum'è un pirate di vita.

Sta pratica hà causatu assai inconvenienti. Tuttavia, a ghjente hà avutu a suppurtà, perchè questu per a salvezza. Avà stu cunsigliu hè cumplettamente irrilevante. In Maghju 2019, ancu Microsoft hà finalmente eliminatu l'esigenza di cambiamenti periodichi di password da u livellu di basa di esigenze di sicurezza per e versioni persunale è di u servitore di Windows 10: quì dichjarazione ufficiale di u blog cù una lista di cambiamenti à a versione Windows 10 v 1903 (nota a frasa Abbandunà e pulitiche di scadenza di password chì necessitanu cambiamenti periodichi di password). E regule stesse è e pulitiche di u sistema Windows 10 Versione 1903 è Windows Server 2019 Security Baseline inclusu in u kit Microsoft Security Compliance Toolkit 1.0.

Pudete vede sti documenti à i vostri superiori è dì : i tempi sò cambiati. I cambiamenti obbligatori di password sò arcaici, avà quasi ufficiale. Ancu un auditu di sicurità ùn verificarà più stu requisitu (se hè basatu annantu à e regule ufficiali per a prutezzione di basa di l'urdinatori Windows).

U cambiamentu di password periodicamente hè una pratica obsoleta, hè ora di abbandunà
Un frammentu di una lista cù e pulitiche di sicurezza basiche per Windows 10 v1809 è cambiamenti in 1903, induve e pulitiche di scadenza di password currispondenti ùn sò più applicate. In modu, in a nova versione, i cunti di l'amministratore è di l'ospiti sò ancu annullati per automaticamente

Microsoft famosu spiega in un post di blog perchè abbandunò a regula di u cambiamentu di password obligatoriu: "A scadenza periodica di a password prutege solu da a pussibilità chì a password (o hash) serà arrubbata durante a so vita è utilizata da una persona micca autorizata. Se a password ùn hè micca arrubbata, ùn ci hè nunda di cambià. È se avete evidenza chì una password hè stata arrubbata, ovviamente vulete agisce immediatamente invece di aspittà finu à a scadenza per risolve u prublema ".

Microsoft cuntinueghja à spiegà chì in l'ambienti d'oghje ùn hè micca apprupriatu per pruteggiri contra u furtu di password cù stu metudu: "Se hè cunnisciutu chì una password hè prubabilmente arrubbata, quanti ghjorni hè un periudu di tempu accettabile per permette à un latru di aduprà quella password arrubbata? U valore predeterminatu hè 42 ghjorni. Ùn vi pare micca un tempu ridiculamente longu ? In verità, questu hè un tempu assai longu, è ancu a nostra linea di basa attuale hè stata stabilita à 60 ghjorni - è prima à 90 ghjorni - perchè furzà scadenze frequenti introduce i so propri prublemi. È se a password ùn hè micca necessariamente arrubbata, allora avete acquistatu questi prublemi senza benefiziu. Inoltre, se i vostri utilizatori sò disposti à scambià una password per caramelle, nisuna pulitica di scadenza di password vi aiuterà.

Alternative

Microsoft scrive chì e so pulitiche di sicurezza di basa sò destinate à l'usu da imprese ben gestite è attente à a sicurità. Sò ancu destinati à furnisce una guida à l'auditori. Se una tale urganizazione hà implementatu listi di password pruibiti, autentificazione multifattore, rilevazione di attacchi di forza bruta di password, è rilevazione di tentativi di login anomali, hè necessaria una scadenza periodica di password? È s'ellu ùn anu micca implementatu e misure di sicurezza muderne, a scadenza di a password li aiuterà?

A logica di Microsoft hè sorprendentemente cunvincente. Avemu duie opzioni:

  1. A cumpagnia hà implementatu misure di sicurità muderni.
  2. A cumpagnia ùn hà introduttu misure di sicurità muderni.

In u primu casu, cambià periodicamente a password ùn furnisce micca benefici supplementari.

In u sicondu casu, cambià periodicamente a password hè inutile.

Cusì, invece di a data di scadenza di a password, avete bisognu di utilizà, prima di tuttu, l'autenticazione multifattore. E misure di sicurezza supplementari sò elencate sopra: liste di password pruibiti, rilevazione di forza bruta è altri tentativi di login anomali.

«A scadenza periodica di a password hè una misura di sicurezza antica è obsoleta", Microsoft cunclude, "è ùn credemu micca chì ci hè un valore specificu chì vale a pena applicà à u nostru livellu di prutezzione di basa. Eliminendulu da a nostra linea di basa, l'urganisazioni ponu sceglie ciò chì si adatta megliu à i so bisogni percepiti senza cunflittu cù e nostre raccomandazioni ".

cunchiusioni

Se una sucietà oghje forza à l'utilizatori à cambià i so password periodicamente, chì puderia pensà un observatore esterno?

  1. Dà: a cumpagnia usa un mecanismu di difesa arcaicu.
  2. Assunta: a cumpagnia ùn hà micca implementatu miccanismi di prutezzione muderni.
  3. Cunsigliu: sti password sò più faciuli à ottene è aduprà.

Risulta chì i cambiamenti periodichi di password facenu una cumpagnia un scopu più attraente per attacchi.

U cambiamentu di password periodicamente hè una pratica obsoleta, hè ora di abbandunà


Source: www.habr.com

Add a comment