ProHoster > Blog > administration > Ændring af adgangskoder med jævne mellemrum er en forældet praksis, det er på tide at opgive det

Ændring af adgangskoder med jævne mellemrum er en forældet praksis, det er på tide at opgive det

Mange it-systemer har en obligatorisk regel om periodisk ændring af adgangskoder. Dette er måske det mest hadede og mest ubrugelige krav til sikkerhedssystemer. Nogle brugere ændrer simpelthen nummeret i slutningen som et life hack.

Denne praksis medførte en masse besvær. Folk måtte dog holde ud, fordi dette for en sikkerheds skyld. Nu er dette råd fuldstændig irrelevant. I maj 2019 fjernede selv Microsoft endelig kravet om periodiske adgangskodeændringer fra det grundlæggende niveau af sikkerhedskrav for personlige og serverversioner af Windows 10: her officiel blogerklæring med en liste over ændringer til version Windows 10 v 1903 (bemærk sætningen Ophævelse af politikker for udløb af adgangskode, der kræver periodiske ændringer af adgangskode). Selve reglerne og systempolitikker Windows 10 Version 1903 og Windows Server 2019 Security Baseline inkluderet i sættet Microsoft Security Compliance Toolkit 1.0.

Du kan vise disse dokumenter til dine overordnede og sige: Tiderne har ændret sig. Obligatoriske adgangskodeændringer er arkaiske, nu næsten officielle. Selv en sikkerhedsrevision vil ikke længere kontrollere dette krav (hvis det er baseret på de officielle regler for grundlæggende beskyttelse af Windows-computere).

Ændring af adgangskoder med jævne mellemrum er en forældet praksis, det er på tide at opgive det
Et fragment af en liste med grundlæggende sikkerhedspolitikker for Windows 10 v1809 og ændringer i 1903, hvor de tilsvarende udløbspolitikker for adgangskode ikke længere gælder. Forresten, i den nye version er administrator- og gæstekonti også annulleret som standard

Microsoft forklarer berømt i et blogindlæg, hvorfor det opgav reglen om obligatorisk adgangskodeændring: "Periodisk udløb af adgangskode beskytter kun mod muligheden for, at adgangskoden (eller hashen) vil blive stjålet i løbet af dens levetid og brugt af en uautoriseret person. Hvis adgangskoden ikke bliver stjålet, er der ingen mening i at ændre den. Og hvis du har bevis for, at en adgangskode er blevet stjålet, vil du naturligvis handle med det samme i stedet for at vente, indtil den udløber, for at løse problemet."

Microsoft fortsætter med at forklare, at det i nutidens miljø ikke er hensigtsmæssigt at beskytte mod adgangskodetyveri ved hjælp af denne metode: "Hvis det vides, at en adgangskode sandsynligvis vil blive stjålet, hvor mange dage er en acceptabel periode at tillade en tyv at bruge den stjålne adgangskode? Standardværdien er 42 dage. Ser det ikke ud til at være latterligt lang tid? Det er faktisk meget lang tid, og alligevel blev vores nuværende baseline sat til 60 dage - og tidligere til 90 dage - fordi fremtvingelse af hyppige udløb introducerer sine egne problemer. Og hvis adgangskoden ikke nødvendigvis bliver stjålet, så erhverver du disse problemer uden gavn. Desuden, hvis dine brugere er villige til at bytte en adgangskode til slik, vil ingen politik for udløb af adgangskode hjælpe."

alternativ

Microsoft skriver, at dets grundlæggende sikkerhedspolitikker er beregnet til brug af veladministrerede, sikkerhedsbevidste virksomheder. De har også til formål at give vejledning til revisorer. Hvis en sådan organisation har implementeret forbudte adgangskodelister, multifaktorgodkendelse, registrering af brute force-angreb med adgangskode og registrering af unormale loginforsøg, kræves periodisk adgangskodeudløb? Og hvis de ikke har implementeret moderne sikkerhedsforanstaltninger, vil udløb af adgangskode hjælpe dem?

Microsofts logik er overraskende overbevisende. Vi har to muligheder:

  1. Virksomheden har implementeret moderne sikkerhedsforanstaltninger.
  2. selskab nej har indført moderne sikkerhedsforanstaltninger.

I det første tilfælde giver periodisk ændring af adgangskoden ikke yderligere fordele.

I det andet tilfælde er periodisk ændring af adgangskoden ubrugelig.

I stedet for adgangskodens udløbsdato skal du derfor først og fremmest bruge, multi-faktor autentificering. Yderligere sikkerhedsforanstaltninger er anført ovenfor: lister over forbudte adgangskoder, påvisning af brute force og andre unormale loginforsøg.

«Periodisk udløb af adgangskode er en gammel og forældet sikkerhedsforanstaltning", konkluderer Microsoft, "og vi mener ikke, at der er nogen specifik værdi, der er værd at anvende på vores grundlæggende beskyttelsesniveau. Ved at fjerne det fra vores baseline kan organisationer vælge det, der passer bedst til deres opfattede behov uden at komme i konflikt med vores anbefalinger."

Output

Hvis en virksomhed i dag tvinger brugere til at ændre deres adgangskoder med jævne mellemrum, hvad kan en ekstern observatør så tænke?

  1. Givet: virksomheden bruger en arkaisk forsvarsmekanisme.
  2. Antagelse: virksomheden har ikke implementeret moderne beskyttelsesmekanismer.
  3. Konklusion: disse adgangskoder er nemmere at få og bruge.

Det viser sig, at periodisk ændring af adgangskoder gør en virksomhed til et mere attraktivt mål for angreb.

Ændring af adgangskoder med jævne mellemrum er en forældet praksis, det er på tide at opgive det


Kilde: www.habr.com

Tilføj en kommentar