Multaj IT-sistemoj havas devigan regulon de periode ŝanĝi pasvortojn. Ĉi tio eble estas la plej malamata kaj plej senutila postulo de sekurecaj sistemoj. Iuj uzantoj simple ŝanĝas la nombron ĉe la fino kiel vivhako.
Ĉi tiu praktiko kaŭzis multajn ĝenojn. Tamen, homoj devis elteni, ĉar ĉi tio pro sekureco. Nun ĉi tiu konsilo tute ne gravas. En majo 2019, eĉ Microsoft finfine forigis la postulon pri periodaj pasvortŝanĝoj de la baza nivelo de sekurecaj postuloj por personaj kaj servilaj versioj de Windows 10: ĉi tie kun listo de ŝanĝoj al versio Windows 10 v 1903 (notu la frazon Forigi la pasvort-eksvalidiĝajn politikojn, kiuj postulas periodajn pasvortajn ŝanĝojn). La reguloj mem kaj sistemaj politikoj Windows 10 Versio 1903 kaj Windows Server 2019 Sekureca Bazlinio inkluzivita en la ilaro .
Vi povas montri ĉi tiujn dokumentojn al viaj superuloj kaj diri: la tempoj ŝanĝiĝis. Devigaj pasvortŝanĝoj estas arkaikaj, nun preskaŭ oficialaj. Eĉ sekureca revizio ne plu kontrolos ĉi tiun postulon (se ĝi baziĝas sur la oficialaj reguloj por baza protekto de Vindozaj komputiloj).
Fragmento de listo kun bazaj sekurecpolitikoj por Vindozo 10 v1809 kaj ŝanĝoj en 1903, kie la respondaj pasvortigaj politikoj ne plu validas. Cetere, en la nova versio, administranto kaj gastokontoj ankaŭ estas nuligitaj defaŭlte
Mikrosofto fame klarigas en blogaĵo kial ĝi forlasis la devigan pasvortŝanĝan regulon: "Perioda pasvorto eksvalidiĝo nur protektas kontraŭ la ebleco, ke la pasvorto (aŭ haŝiŝo) estos ŝtelita dum sia vivo kaj uzata de neaŭtorizita persono. Se la pasvorto ne estas ŝtelita, ne utilas ŝanĝi ĝin. Kaj se vi havas pruvojn, ke pasvorto estis ŝtelita, vi evidente volas agi tuj anstataŭ atendi ĝis ĝi eksvalidiĝos por solvi la problemon."
Mikrosofto daŭrigas klarigante, ke en la hodiaŭa medio ne taŭgas protekti kontraŭ pasvortŝtelo uzante ĉi tiun metodon: “Se oni scias, ke pasvorto verŝajne estos ŝtelita, kiom da tagoj estas akceptebla tempodaŭro por permesi al ŝtelisto. uzi tiun ŝtelitan pasvorton? La defaŭlta valoro estas 42 tagoj. Ĉu tio ne ŝajnas ridinde longa tempo? Ja tio estas tre longa tempo, kaj tamen nia nuna bazlinio estis fiksita je 60 tagoj - kaj antaŭe je 90 tagoj - ĉar devigi oftajn eksvalidiĝojn enkondukas siajn proprajn problemojn. Kaj se la pasvorto ne estas nepre ŝtelita, tiam vi akiras ĉi tiujn problemojn sen profito. Krome, se viaj uzantoj pretas interŝanĝi pasvorton kontraŭ bombonoj, neniu politiko pri eksvalidiĝo de pasvorto helpos."
Alternativa
Mikrosofto skribas, ke ĝiaj bazliniaj sekurecpolitikoj estas destinitaj por uzo de bone administritaj, sekureckonsciaj entreprenoj. Ili ankaŭ celas provizi gvidadon al revizoroj. Se tia organizo efektivigis malpermesitajn pasvorlistojn, multfaktoran aŭtentikigon, pasvortan krudfortan atakan detekton kaj nenormalan ensalutan provon, ĉu perioda pasvorta eksvalidiĝo estas necesa? Kaj se ili ne efektivigis modernajn sekurecajn mezurojn, ĉu pasvorta eksvalidiĝo helpos ilin?
La logiko de Microsoft estas surprize konvinka. Ni havas du eblojn:
- La firmao efektivigis modernajn sekureciniciatojn.
- Firmao ne enkondukis modernajn sekurecajn mezurojn.
En la unua kazo, periode ŝanĝi la pasvorton ne provizas pliajn avantaĝojn.
En la dua kazo, periode ŝanĝi la pasvorton estas senutila.
Tiel, anstataŭ la pasvorda limdato, vi devas uzi, antaŭ ĉio, plurfaktora aŭtentigo. Pliaj sekurecaj mezuroj estas listigitaj supre: listoj de malpermesitaj pasvortoj, detekto de krudforto kaj aliaj nenormalaj ensalutprovoj.
«Perioda pasvorta eksvalidiĝo estas antikva kaj malmoderna sekureca mezuro", Mikrosofto konkludas, "kaj ni ne kredas, ke ekzistas iu specifa valoro aplikata al nia bazlinia protektonivelo. Forigante ĝin de nia bazlinio, organizoj povas elekti tion, kio plej konvenas al siaj perceptitaj bezonoj sen konflikti kun niaj rekomendoj."
konkludo
Se firmao hodiaŭ devigas uzantojn ŝanĝi siajn pasvortojn periode, kion povus pensi ekstera observanto?
- Donita: la firmao uzas arkaikan defendan mekanismon.
- Supozo: la firmao ne efektivigis modernajn protektajn mekanismojn.
- Konkludo: ĉi tiuj pasvortoj estas pli facile akiri kaj uzi.
Rezultas, ke periode ŝanĝi pasvortojn faras kompanion pli alloga celo por atakoj.
fonto: www.habr.com