Muchos sistemas de TI tienen la regla obligatoria de cambiar periódicamente las contraseñas. Este es quizás el requisito más odiado y más inútil de los sistemas de seguridad. Algunos usuarios simplemente cambian el número al final como un truco.
Esta práctica causó muchos inconvenientes. Sin embargo, la gente tuvo que aguantar, porque esto por la seguridad. Ahora bien, este consejo es completamente irrelevante. En mayo de 2019, incluso Microsoft finalmente eliminó el requisito de cambios periódicos de contraseña del nivel básico de requisitos de seguridad para las versiones personal y de servidor de Windows 10: aquí con una lista de cambios a la versión Windows 10 v 1903 (tenga en cuenta la frase Eliminar las políticas de caducidad de contraseñas que requieren cambios periódicos de contraseña). Las reglas mismas y las políticas del sistema. Línea base de seguridad de Windows 10 versión 1903 y Windows Server 2019 incluido en el kit .
Puedes mostrar estos documentos a tus superiores y decir: los tiempos han cambiado. Los cambios obligatorios de contraseña son arcaicos, ahora casi oficiales. Incluso una auditoría de seguridad ya no verificará este requisito (si se basa en las reglas oficiales para la protección básica de computadoras con Windows).
Un fragmento de una lista con políticas de seguridad básicas para Windows 10 v1809 y cambios en 1903, donde ya no aplican las políticas de caducidad de contraseñas correspondientes. Por cierto, en la nueva versión las cuentas de administrador e invitado también se cancelan por defecto
Microsoft explica en una publicación de blog por qué abandonó la regla obligatoria de cambio de contraseña: “La caducidad periódica de la contraseña sólo protege contra la posibilidad de que la contraseña (o hash) sea robada durante su vida útil y utilizada por una persona no autorizada. Si la contraseña no es robada, no tiene sentido cambiarla. Y si tiene pruebas de que le han robado una contraseña, obviamente querrá actuar de inmediato en lugar de esperar hasta que caduque para solucionar el problema".
Microsoft continúa explicando que en el entorno actual no es apropiado protegerse contra el robo de contraseñas usando este método: "Si se sabe que es probable que roben una contraseña, ¿cuántos días es un período de tiempo aceptable para permitir que un ladrón pueda robarla?". usar esa contraseña robada? El valor predeterminado es 42 días. ¿No parece un tiempo ridículamente largo? De hecho, se trata de un plazo muy largo y, sin embargo, nuestro punto de referencia actual se fijó en 60 días -y anteriormente en 90 días- porque forzar vencimientos frecuentes introduce sus propios problemas. Y si la contraseña no es necesariamente robada, entonces estás adquiriendo estos problemas sin ningún beneficio. Además, si sus usuarios están dispuestos a cambiar una contraseña por dulces, ninguna política de caducidad de contraseña será de ayuda”.
Alternativa
Microsoft escribe que sus políticas de seguridad básicas están destinadas a empresas bien administradas y preocupadas por la seguridad. También están destinados a proporcionar orientación a los auditores. Si dicha organización ha implementado listas de contraseñas prohibidas, autenticación multifactor, detección de ataques de fuerza bruta a contraseñas y detección de intentos de inicio de sesión anómalos, ¿se requiere la caducidad periódica de la contraseña? Y si no han implementado medidas de seguridad modernas, ¿les ayudará la caducidad de la contraseña?
La lógica de Microsoft es sorprendentemente convincente. Tenemos dos opciones:
- La empresa ha implementado modernas medidas de seguridad.
- Inmobiliaria no ha introducido modernas medidas de seguridad.
En el primer caso, cambiar periódicamente la contraseña no aporta beneficios adicionales.
En el segundo caso, cambiar periódicamente la contraseña es inútil.
Por lo tanto, en lugar de la fecha de vencimiento de la contraseña, debe usar, en primer lugar, autenticación multifactor. Las medidas de seguridad adicionales se enumeran arriba: listas de contraseñas prohibidas, detección de fuerza bruta y otros intentos de inicio de sesión anómalos.
«La caducidad periódica de la contraseña es una medida de seguridad antigua y obsoleta", concluye Microsoft, "y no creemos que exista ningún valor específico que valga la pena aplicar a nuestro nivel de protección básico. Al eliminarlo de nuestra base de referencia, las organizaciones pueden elegir lo que mejor se adapte a sus necesidades percibidas sin entrar en conflicto con nuestras recomendaciones”.
conclusión
Si hoy una empresa obliga a los usuarios a cambiar sus contraseñas periódicamente, ¿qué podría pensar un observador externo?
- mayo: la empresa utiliza un mecanismo de defensa arcaico.
- Suposición la empresa no ha implementado mecanismos de protección modernos.
- Conclusión: estas contraseñas son más fáciles de obtener y utilizar.
Resulta que cambiar periódicamente las contraseñas convierte a una empresa en un objetivo más atractivo para los ataques.
Fuente: habr.com