ProHoster > Blog > διαχείριση > Η περιοδική αλλαγή κωδικών πρόσβασης είναι μια ξεπερασμένη πρακτική, ήρθε η ώρα να την εγκαταλείψετε

Η περιοδική αλλαγή κωδικών πρόσβασης είναι μια ξεπερασμένη πρακτική, ήρθε η ώρα να την εγκαταλείψετε

Πολλά συστήματα πληροφορικής έχουν υποχρεωτικό κανόνα περιοδικής αλλαγής κωδικών πρόσβασης. Αυτή είναι ίσως η πιο μισητή και πιο άχρηστη απαίτηση των συστημάτων ασφαλείας. Μερικοί χρήστες απλώς αλλάζουν τον αριθμό στο τέλος ως βίαιη αμυχή.

Αυτή η πρακτική προκάλεσε μεγάλη ταλαιπωρία. Ωστόσο, οι άνθρωποι έπρεπε να αντέξουν, γιατί αυτό για λόγους ασφαλείας. Τώρα αυτή η συμβουλή είναι εντελώς άσχετη. Τον Μάιο του 2019, ακόμη και η Microsoft αφαίρεσε τελικά την απαίτηση για περιοδικές αλλαγές κωδικού πρόσβασης από το βασικό επίπεδο απαιτήσεων ασφαλείας για προσωπικές εκδόσεις και εκδόσεις διακομιστή των Windows 10: εδώ επίσημη δήλωση ιστολογίου με μια λίστα αλλαγών στην έκδοση Windows 10 v 1903 (σημειώστε τη φράση Κατάργηση των πολιτικών λήξης κωδικού πρόσβασης που απαιτούν περιοδικές αλλαγές κωδικού πρόσβασης). Οι ίδιοι οι κανόνες και οι πολιτικές του συστήματος Windows 10 Έκδοση 1903 και Windows Server 2019 Baseline ασφαλείας περιλαμβάνονται στο κιτ Microsoft Security Compliance Toolkit 1.0.

Μπορείτε να δείξετε αυτά τα έγγραφα στους ανωτέρους σας και να πείτε: οι καιροί άλλαξαν. Οι υποχρεωτικές αλλαγές κωδικού πρόσβασης είναι αρχαϊκές, πλέον σχεδόν επίσημες. Ακόμη και ένας έλεγχος ασφαλείας δεν θα ελέγχει πλέον αυτήν την απαίτηση (αν βασίζεται στους επίσημους κανόνες για τη βασική προστασία των υπολογιστών με Windows).

Η περιοδική αλλαγή κωδικών πρόσβασης είναι μια ξεπερασμένη πρακτική, ήρθε η ώρα να την εγκαταλείψετε
Ένα τμήμα μιας λίστας με βασικές πολιτικές ασφαλείας για τα Windows 10 v1809 και αλλαγές το 1903, όπου δεν ισχύουν πλέον οι αντίστοιχες πολιτικές λήξης κωδικού πρόσβασης. Παρεμπιπτόντως, στη νέα έκδοση, οι λογαριασμοί διαχειριστή και επισκέπτης ακυρώνονται επίσης από προεπιλογή

Η Microsoft εξηγεί περίφημα σε μια ανάρτηση ιστολογίου γιατί εγκατέλειψε τον κανόνα υποχρεωτικής αλλαγής κωδικού πρόσβασης: «Η περιοδική λήξη κωδικού πρόσβασης προστατεύει μόνο από την πιθανότητα κλοπής του κωδικού πρόσβασης (ή κατακερματισμού) κατά τη διάρκεια της ζωής του και χρήσης από μη εξουσιοδοτημένο άτομο. Εάν ο κωδικός πρόσβασης δεν κλαπεί, δεν υπάρχει λόγος να τον αλλάξετε. Και αν έχετε αποδείξεις ότι ένας κωδικός πρόσβασης έχει κλαπεί, προφανώς θα θέλετε να ενεργήσετε αμέσως αντί να περιμένετε μέχρι να λήξει για να διορθώσετε το πρόβλημα."

Η Microsoft συνεχίζει εξηγώντας ότι στο σημερινό περιβάλλον δεν ενδείκνυται η προστασία από κλοπή κωδικού πρόσβασης χρησιμοποιώντας αυτήν τη μέθοδο: «Αν είναι γνωστό ότι ένας κωδικός πρόσβασης είναι πιθανό να κλαπεί, πόσες ημέρες είναι αποδεκτή χρονική περίοδος για να επιτρέψει σε έναν κλέφτη να χρησιμοποιήστε αυτόν τον κλεμμένο κωδικό πρόσβασης; Η προεπιλεγμένη τιμή είναι 42 ημέρες. Δεν σας φαίνεται γελοία πολύς χρόνος; Πράγματι, αυτό είναι πολύ μεγάλο χρονικό διάστημα, και ωστόσο η τρέχουσα γραμμή βάσης μας ορίστηκε στις 60 ημέρες - και προηγουμένως σε 90 ημέρες - επειδή η επιβολή συχνών λήξεων δημιουργεί τα δικά του προβλήματα. Και αν ο κωδικός πρόσβασης δεν κλαπεί απαραίτητα, τότε αποκτάτε αυτά τα προβλήματα χωρίς κανένα όφελος. Επιπλέον, εάν οι χρήστες σας είναι πρόθυμοι να ανταλλάξουν έναν κωδικό πρόσβασης για καραμέλα, καμία πολιτική λήξης κωδικού πρόσβασης δεν θα βοηθήσει."

Εναλλακτική λύση

Η Microsoft γράφει ότι οι βασικές πολιτικές ασφαλείας της προορίζονται για χρήση από επιχειρήσεις που έχουν καλή διαχείριση και έχουν επίγνωση της ασφάλειας. Προορίζονται επίσης να παρέχουν καθοδήγηση στους ελεγκτές. Εάν ένας τέτοιος οργανισμός έχει εφαρμόσει απαγορευμένες λίστες κωδικών πρόσβασης, έλεγχο ταυτότητας πολλαπλών παραγόντων, ανίχνευση ωμής επίθεσης με κωδικό πρόσβασης και ανίχνευση ανώμαλης προσπάθειας σύνδεσης, απαιτείται περιοδική λήξη κωδικού πρόσβασης; Και αν δεν έχουν εφαρμόσει σύγχρονα μέτρα ασφαλείας, θα τους βοηθήσει η λήξη του κωδικού πρόσβασης;

Η λογική της Microsoft είναι εκπληκτικά πειστική. Έχουμε δύο επιλογές:

  1. Η εταιρεία έχει εφαρμόσει σύγχρονα μέτρα ασφαλείας.
  2. Εταιρεία όχι έχει εισαγάγει σύγχρονα μέτρα ασφαλείας.

Στην πρώτη περίπτωση, η περιοδική αλλαγή του κωδικού πρόσβασης δεν παρέχει πρόσθετα οφέλη.

Στη δεύτερη περίπτωση, η περιοδική αλλαγή του κωδικού πρόσβασης είναι άχρηστη.

Επομένως, αντί για την ημερομηνία λήξης του κωδικού πρόσβασης, πρέπει πρώτα απ 'όλα να χρησιμοποιήσετε έλεγχος ταυτότητας πολλαπλών παραγόντων. Πρόσθετα μέτρα ασφαλείας αναφέρονται παραπάνω: λίστες με απαγορευμένους κωδικούς πρόσβασης, ανίχνευση ωμής βίας και άλλες ανώμαλες προσπάθειες σύνδεσης.

«Η περιοδική λήξη του κωδικού πρόσβασης είναι ένα αρχαίο και ξεπερασμένο μέτρο ασφαλείας", καταλήγει η Microsoft, "και δεν πιστεύουμε ότι υπάρχει κάποια συγκεκριμένη τιμή που αξίζει να εφαρμοστεί στο βασικό επίπεδο προστασίας μας. Με την κατάργησή του από τη γραμμή βάσης μας, οι οργανισμοί μπορούν να επιλέξουν αυτό που ταιριάζει καλύτερα στις αντιληπτές ανάγκες τους χωρίς να έρχονται σε αντίθεση με τις συστάσεις μας».

Παραγωγή

Εάν μια εταιρεία σήμερα αναγκάζει τους χρήστες να αλλάζουν τους κωδικούς πρόσβασής τους περιοδικά, τι μπορεί να σκεφτεί ένας εξωτερικός παρατηρητής;

  1. Δεδομένος: η εταιρεία χρησιμοποιεί έναν αρχαϊκό αμυντικό μηχανισμό.
  2. Υπόθεση: η εταιρεία δεν έχει εφαρμόσει σύγχρονους προστατευτικούς μηχανισμούς.
  3. Συμπέρασμα: αυτοί οι κωδικοί πρόσβασης είναι πιο εύκολο να αποκτηθούν και να χρησιμοποιηθούν.

Αποδεικνύεται ότι η περιοδική αλλαγή κωδικών πρόσβασης κάνει μια εταιρεία πιο ελκυστικό στόχο για επιθέσεις.

Η περιοδική αλλαγή κωδικών πρόσβασης είναι μια ξεπερασμένη πρακτική, ήρθε η ώρα να την εγκαταλείψετε


Πηγή: www.habr.com

Προσθέστε ένα σχόλιο