Mae gan lawer o systemau TG reol orfodol o newid cyfrineiriau o bryd i'w gilydd. Efallai mai dyma'r gofyniad mwyaf cas a mwyaf diwerth o systemau diogelwch. Mae rhai defnyddwyr yn syml yn newid y rhif ar y diwedd fel darnia bywyd.
Achosodd yr arferiad hwn lawer o anghyfleustra. Fodd bynnag, roedd yn rhaid i bobl ddioddef, oherwydd mae hyn er mwyn diogelwch. Nawr mae'r cyngor hwn yn gwbl amherthnasol. Ym mis Mai 2019, fe wnaeth hyd yn oed Microsoft ddileu'r gofyniad am newidiadau cyfrinair cyfnodol o'r diwedd o'r lefel sylfaenol o ofynion diogelwch ar gyfer fersiynau personol a gweinydd o Windows 10: yma gyda rhestr o newidiadau i fersiwn Windows 10 v 1903 (sylwch ar yr ymadrodd Gollwng y polisïau dod i ben cyfrinair sy'n gofyn am newidiadau cyfrinair cyfnodol). Y rheolau eu hunain a pholisïau system Windows 10 Fersiwn 1903 a Llinell Sylfaen Diogelwch Windows Server 2019 cynnwys yn y pecyn .
Gallwch ddangos y dogfennau hyn i'ch uwch swyddogion a dweud: mae amseroedd wedi newid. Mae newidiadau cyfrinair gorfodol yn hynafol, bellach bron yn swyddogol. Ni fydd hyd yn oed archwiliad diogelwch yn gwirio'r gofyniad hwn mwyach (os yw'n seiliedig ar y rheolau swyddogol ar gyfer amddiffyniad sylfaenol cyfrifiaduron Windows).
Darn o restr gyda pholisïau diogelwch sylfaenol ar gyfer Windows 10 v1809 a newidiadau yn 1903, lle nad yw'r polisïau dod i ben cyfrinair cyfatebol yn berthnasol mwyach. Gyda llaw, yn y fersiwn newydd, mae cyfrifon gweinyddwyr a gwesteion hefyd yn cael eu canslo yn ddiofyn
Mae Microsoft yn esbonio'n enwog mewn post blog pam ei fod wedi rhoi'r gorau i'r rheol newid cyfrinair gorfodol: “Mae dod i ben cyfrinair cyfnodol yn amddiffyn rhag y posibilrwydd y bydd y cyfrinair (neu'r hash) yn cael ei ddwyn yn ystod ei oes a'i ddefnyddio gan berson anawdurdodedig yn unig. Os na chaiff y cyfrinair ei ddwyn, nid oes diben ei newid. Ac os oes gennych chi dystiolaeth bod cyfrinair wedi'i ddwyn, mae'n amlwg y byddwch chi eisiau gweithredu ar unwaith yn hytrach nag aros nes iddo ddod i ben i ddatrys y broblem."
Mae Microsoft yn mynd ymlaen i egluro nad yw'n briodol yn yr amgylchedd heddiw amddiffyn rhag lladrad cyfrinair gan ddefnyddio'r dull hwn: “Os yw'n hysbys bod cyfrinair yn debygol o gael ei ddwyn, sawl diwrnod sy'n gyfnod derbyniol o amser i ganiatáu i leidr wneud hynny. defnyddio'r cyfrinair hwnnw sydd wedi'i ddwyn? Y gwerth diofyn yw 42 diwrnod. Onid yw hynny'n ymddangos fel amser chwerthinllyd o hir? Yn wir, mae hwn yn amser hir iawn, ac eto gosodwyd ein llinell sylfaen gyfredol ar 60 diwrnod - ac yn flaenorol ar 90 diwrnod - oherwydd mae gorfodi dod i ben yn aml yn cyflwyno ei broblemau ei hun. Ac os nad yw'r cyfrinair o reidrwydd wedi'i ddwyn, yna rydych chi'n caffael y problemau hyn heb unrhyw fudd. Ar ben hynny, os yw'ch defnyddwyr yn barod i fasnachu cyfrinair ar gyfer candy, ni fydd unrhyw bolisi dod i ben cyfrinair yn helpu. ”
Amgen
Mae Microsoft yn ysgrifennu bod ei bolisïau diogelwch sylfaenol wedi'u bwriadu i'w defnyddio gan fusnesau sy'n cael eu rheoli'n dda ac sy'n ymwybodol o ddiogelwch. Bwriedir iddynt hefyd roi arweiniad i archwilwyr. Os yw sefydliad o'r fath wedi gweithredu rhestrau cyfrinair gwaharddedig, dilysu aml-ffactor, canfod ymosodiad grym 'n Ysgrublaidd cyfrinair, a chanfod ymgais mewngofnodi afreolaidd, a oes angen terfynu cyfrinair o bryd i'w gilydd? Ac os nad ydynt wedi gweithredu mesurau diogelwch modern, a fydd diwedd cyfrinair yn eu helpu?
Mae rhesymeg Microsoft yn rhyfeddol o argyhoeddiadol. Mae gennym ddau opsiwn:
- Mae'r cwmni wedi rhoi mesurau diogelwch modern ar waith.
- cwmni dim wedi cyflwyno mesurau diogelwch modern.
Yn yr achos cyntaf, nid yw newid y cyfrinair o bryd i'w gilydd yn darparu buddion ychwanegol.
Yn yr ail achos, mae newid y cyfrinair o bryd i'w gilydd yn ddiwerth.
Felly, yn lle'r dyddiad dod i ben cyfrinair, mae angen i chi ddefnyddio, yn gyntaf oll, dilysu aml-ffactor. Rhestrir mesurau diogelwch ychwanegol uchod: rhestrau o gyfrineiriau gwaharddedig, canfod grym 'n ysgrublaidd ac ymdrechion mewngofnodi afreolaidd eraill.
«Mae dod i ben cyfrinair cyfnodol yn fesur diogelwch hynafol a hen ffasiwn", Daw Microsoft i'r casgliad, "ac nid ydym yn credu bod unrhyw werth penodol yn werth ei gymhwyso i'n lefel amddiffyn sylfaenol. Drwy ei dynnu o’n llinell sylfaen, gall sefydliadau ddewis yr hyn sy’n gweddu orau i’w hanghenion canfyddedig heb wrthdaro â’n hargymhellion.”
Allbwn
Os yw cwmni heddiw yn gorfodi defnyddwyr i newid eu cyfrineiriau o bryd i'w gilydd, beth allai sylwedydd allanol ei feddwl?
- Wedi'i roi: mae'r cwmni'n defnyddio mecanwaith amddiffyn hynafol.
- Tybiaeth: nid yw'r cwmni wedi gweithredu mecanweithiau amddiffynnol modern.
- Casgliad: mae'r cyfrineiriau hyn yn haws eu cael a'u defnyddio.
Mae'n ymddangos bod newid cyfrineiriau o bryd i'w gilydd yn gwneud cwmni yn darged mwy deniadol ar gyfer ymosodiadau.
Ffynhonnell: hab.com