Mange it-systemer har en obligatorisk regel om periodisk ændring af adgangskoder. Dette er måske det mest hadede og mest ubrugelige krav til sikkerhedssystemer. Nogle brugere ændrer simpelthen nummeret i slutningen som et life hack.
Denne praksis medførte en masse besvær. Folk måtte dog holde ud, fordi dette for en sikkerheds skyld. Nu er dette råd fuldstændig irrelevant. I maj 2019 fjernede selv Microsoft endelig kravet om periodiske adgangskodeændringer fra det grundlæggende niveau af sikkerhedskrav for personlige og serverversioner af Windows 10: her
Du kan vise disse dokumenter til dine overordnede og sige: Tiderne har ændret sig. Obligatoriske adgangskodeændringer er arkaiske, nu næsten officielle. Selv en sikkerhedsrevision vil ikke længere kontrollere dette krav (hvis det er baseret på de officielle regler for grundlæggende beskyttelse af Windows-computere).
Et fragment af en liste med grundlæggende sikkerhedspolitikker for Windows 10 v1809 og ændringer i 1903, hvor de tilsvarende udløbspolitikker for adgangskode ikke længere gælder. Forresten, i den nye version er administrator- og gæstekonti også annulleret som standard
Microsoft forklarer berømt i et blogindlæg, hvorfor det opgav reglen om obligatorisk adgangskodeændring: "Periodisk udløb af adgangskode beskytter kun mod muligheden for, at adgangskoden (eller hashen) vil blive stjålet i løbet af dens levetid og brugt af en uautoriseret person. Hvis adgangskoden ikke bliver stjålet, er der ingen mening i at ændre den. Og hvis du har bevis for, at en adgangskode er blevet stjålet, vil du naturligvis handle med det samme i stedet for at vente, indtil den udløber, for at løse problemet."
Microsoft fortsætter med at forklare, at det i nutidens miljø ikke er hensigtsmæssigt at beskytte mod adgangskodetyveri ved hjælp af denne metode: "Hvis det vides, at en adgangskode sandsynligvis vil blive stjålet, hvor mange dage er en acceptabel periode at tillade en tyv at bruge den stjålne adgangskode? Standardværdien er 42 dage. Ser det ikke ud til at være latterligt lang tid? Det er faktisk meget lang tid, og alligevel blev vores nuværende baseline sat til 60 dage - og tidligere til 90 dage - fordi fremtvingelse af hyppige udløb introducerer sine egne problemer. Og hvis adgangskoden ikke nødvendigvis bliver stjålet, så erhverver du disse problemer uden gavn. Desuden, hvis dine brugere er villige til at bytte en adgangskode til slik, vil ingen politik for udløb af adgangskode hjælpe."
alternativ
Microsoft skriver, at dets grundlæggende sikkerhedspolitikker er beregnet til brug af veladministrerede, sikkerhedsbevidste virksomheder. De har også til formål at give vejledning til revisorer. Hvis en sådan organisation har implementeret forbudte adgangskodelister, multifaktorgodkendelse, registrering af brute force-angreb med adgangskode og registrering af unormale loginforsøg, kræves periodisk adgangskodeudløb? Og hvis de ikke har implementeret moderne sikkerhedsforanstaltninger, vil udløb af adgangskode hjælpe dem?
Microsofts logik er overraskende overbevisende. Vi har to muligheder:
- Virksomheden har implementeret moderne sikkerhedsforanstaltninger.
- selskab nej har indført moderne sikkerhedsforanstaltninger.
I det første tilfælde giver periodisk ændring af adgangskoden ikke yderligere fordele.
I det andet tilfælde er periodisk ændring af adgangskoden ubrugelig.
I stedet for adgangskodens udløbsdato skal du derfor først og fremmest bruge, multi-faktor autentificering. Yderligere sikkerhedsforanstaltninger er anført ovenfor: lister over forbudte adgangskoder, påvisning af brute force og andre unormale loginforsøg.
«Periodisk udløb af adgangskode er en gammel og forældet sikkerhedsforanstaltning", konkluderer Microsoft, "og vi mener ikke, at der er nogen specifik værdi, der er værd at anvende på vores grundlæggende beskyttelsesniveau. Ved at fjerne det fra vores baseline kan organisationer vælge det, der passer bedst til deres opfattede behov uden at komme i konflikt med vores anbefalinger."
Output
Hvis en virksomhed i dag tvinger brugere til at ændre deres adgangskoder med jævne mellemrum, hvad kan en ekstern observatør så tænke?
- Givet: virksomheden bruger en arkaisk forsvarsmekanisme.
- Antagelse: virksomheden har ikke implementeret moderne beskyttelsesmekanismer.
- Konklusion: disse adgangskoder er nemmere at få og bruge.
Det viser sig, at periodisk ændring af adgangskoder gør en virksomhed til et mere attraktivt mål for angreb.
Kilde: www.habr.com