Mnoho IT systémů má povinné pravidlo periodické změny hesel. To je možná nejnenáviděnější a nejzbytečnější požadavek bezpečnostních systémů. Někteří uživatelé jednoduše změní číslo na konci jako životní hack.
Tato praxe způsobila mnoho nepříjemností. Lidé však museli vydržet, protože toto kvůli bezpečnosti. Nyní je tato rada zcela irelevantní. V květnu 2019 dokonce Microsoft konečně odstranil požadavek na pravidelné změny hesla ze základní úrovně bezpečnostních požadavků pro osobní a serverové verze Windows 10: zde se seznamem změn verze Windows 10 v 1903 (všimněte si fráze Zrušení zásad vypršení platnosti hesla, které vyžadují pravidelné změny hesla). Samotná pravidla a systémové zásady Windows 10 verze 1903 a Windows Server 2019 Security Baseline součástí sady .
Tyto dokumenty můžete ukázat svým nadřízeným a říci: časy se změnily. Povinné změny hesla jsou archaické, dnes již téměř oficiální. Tento požadavek již neprověří ani bezpečnostní audit (pokud vychází z oficiálních pravidel pro základní ochranu počítačů s Windows).
Fragment seznamu se základními bezpečnostními zásadami pro Windows 10 v1809 a změnami v roce 1903, kde již neplatí odpovídající zásady vypršení platnosti hesla. Mimochodem, v nové verzi jsou standardně zrušeny i účty administrátora a hosta
Společnost Microsoft v příspěvku na blogu skvěle vysvětluje, proč opustila pravidlo povinné změny hesla: „Pravidelné vypršení platnosti hesla chrání pouze před možností, že heslo (nebo hash) bude během své životnosti odcizeno a použito neoprávněnou osobou. Pokud heslo není odcizeno, nemá smysl ho měnit. A pokud máte důkaz o tom, že heslo bylo ukradeno, budete zřejmě chtít jednat okamžitě, než čekat, až vyprší jeho platnost, abyste problém vyřešili."
Microsoft dále vysvětluje, že v dnešním prostředí není vhodné chránit se před krádeží hesel touto metodou: „Pokud je známo, že je pravděpodobné, že heslo bude odcizeno, kolik dní je přijatelné časové období, aby mohl zloděj použít to ukradené heslo? Výchozí hodnota je 42 dní. Nezdá se vám to jako směšně dlouhá doba? Ve skutečnosti je to velmi dlouhá doba, a přesto byla naše současná základní hodnota nastavena na 60 dní – a dříve na 90 dní – protože vynucení častých expirací přináší své vlastní problémy. A pokud heslo není nutně ukradeno, pak získáváte tyto problémy bez užitku. Kromě toho, pokud jsou vaši uživatelé ochotni vyměnit heslo za sladkosti, žádná politika vypršení platnosti hesla nepomůže.“
Альтернатива
Microsoft píše, že jeho základní bezpečnostní zásady jsou určeny pro použití dobře spravovanými podniky, které si uvědomují bezpečnost. Jsou také určeny jako vodítko pro auditory. Pokud taková organizace zavedla seznamy zakázaných hesel, vícefaktorovou autentizaci, detekci útoku hrubou silou pomocí hesla a detekci anomálních pokusů o přihlášení, je vyžadováno pravidelné vypršení platnosti hesla? A pokud nezavedli moderní bezpečnostní opatření, pomůže jim vypršení platnosti hesla?
Logika Microsoftu je překvapivě přesvědčivá. Máme dvě možnosti:
- Společnost zavedla moderní bezpečnostní opatření.
- společnost ne zavedl moderní bezpečnostní opatření.
V prvním případě pravidelná změna hesla neposkytuje další výhody.
V druhém případě je periodická změna hesla zbytečná.
Místo data vypršení platnosti hesla tedy musíte nejprve použít vícefaktorové ověřování. Další bezpečnostní opatření jsou uvedena výše: seznamy zakázaných hesel, detekce hrubé síly a další anomální pokusy o přihlášení.
«Pravidelné vypršení platnosti hesla je staré a zastaralé bezpečnostní opatření“, uzavírá Microsoft, „a nevěříme, že existuje nějaká konkrétní hodnota, kterou by stálo za to aplikovat na naši základní úroveň ochrany. Odstraněním z naší základní linie si organizace mohou vybrat, co nejlépe vyhovuje jejich vnímaným potřebám, aniž by to bylo v rozporu s našimi doporučeními.“
Výkon
Pokud dnes společnost nutí uživatele, aby pravidelně měnili svá hesla, co si může myslet vnější pozorovatel?
- Vzhledem k: společnost používá archaický obranný mechanismus.
- Předpoklad: společnost nezavedla moderní ochranné mechanismy.
- Závěr: tato hesla se snáze získávají a používají.
Ukazuje se, že pravidelná změna hesel dělá společnost atraktivnějším cílem útoků.
Zdroj: www.habr.com