Paljudes IT-süsteemides on paroolide perioodilise muutmise kohustuslik reegel. See on võib-olla turvasüsteemide vihatuim ja kasutuim nõue. Mõned kasutajad muudavad elu häkkimiseks lihtsalt numbri lõpus.
See tava tekitas palju ebamugavusi. Inimesed pidid aga taluma, sest see ohutuse huvides. Nüüd on see nõuanne täiesti ebaoluline. 2019. aasta mais eemaldas isegi Microsoft Windows 10 isiklike ja serveriversioonide turbenõuete põhitasemest lõpuks paroolide perioodilise muutmise nõude: siin versiooni Windows 10 v 1903 muudatuste loendiga (märkige fraas Parooli aegumise reeglite tühistamine, mis nõuavad perioodilist parooli muutmist). Reeglid ise ja süsteemipoliitikad Windows 10 versioon 1903 ja Windows Server 2019 turbe baasjoon sisaldub komplektis .
Saate neid dokumente oma ülemustele näidata ja öelda: ajad on muutunud. Kohustuslikud paroolivahetused on arhailised, nüüdseks peaaegu ametlikud. Isegi turvaaudit ei kontrolli enam seda nõuet (kui see põhineb Windowsi arvutite põhikaitse ametlikel reeglitel).
Fragment loendist põhiliste turvapoliitikatega Windows 10 v1809 ja 1903. aasta muudatustega, kus vastavad parooli aegumise poliitikad enam ei kehti. Muide, uues versioonis tühistatakse vaikimisi ka administraatori ja külaliste kontod
Microsoft selgitab blogipostituses kuulsalt, miks ta loobus kohustuslikust parooli muutmise reeglist: "Parooli perioodiline aegumine kaitseb ainult selle eest, et parool (või räsi) selle eluea jooksul varastati ja volitamata isik seda kasutab. Kui parooli ei varastata, pole mõtet seda muuta. Ja kui teil on tõendeid selle kohta, et parool on varastatud, soovite ilmselt kohe tegutseda, mitte oodata, kuni see aegub, et probleem lahendada."
Microsoft jätkab selgitamist, et tänapäeva keskkonnas ei ole selle meetodi abil kohane kaitsta end paroolivarguse eest: „Kui on teada, et parool tõenäoliselt varastatakse, siis mitu päeva on vastuvõetav ajavahemik, mille jooksul vargad seda varguse eest ära hoida. kasutad seda varastatud parooli? Vaikeväärtus on 42 päeva. Kas see ei tundu naeruväärselt pikk aeg? Tõepoolest, see on väga pikk aeg ja ometi oli meie praegune baasväärtus seatud 60 päevale – ja varem 90 päevale –, sest sagedase aegumise sundimisega kaasnevad omad probleemid. Ja kui parooli ei pruugita varastada, siis omandate need probleemid tulutult. Pealegi, kui teie kasutajad on valmis parooli kommide vastu vahetama, ei aita ükski parooli aegumise poliitika.
Альтернатива
Microsoft kirjutab, et selle baasturbepoliitikad on mõeldud kasutamiseks hästi juhitud turvateadlikele ettevõtetele. Samuti on need mõeldud audiitoritele juhiste andmiseks. Kui selline organisatsioon on rakendanud keelatud parooliloendeid, mitmefaktorilist autentimist, parooliga brute force rünnaku tuvastamist ja anomaalsete sisselogimiskatsete tuvastamist, siis kas parooli perioodiline aegumine on vajalik? Ja kui nad pole rakendanud kaasaegseid turvameetmeid, kas parooli aegumine aitab neid?
Microsofti loogika on üllatavalt veenev. Meil on kaks võimalust:
- Ettevõte on rakendanud kaasaegseid turvameetmeid.
- Ettevõte ei on kasutusele võtnud kaasaegsed turvameetmed.
Esimesel juhul ei anna parooli perioodiline muutmine täiendavaid eeliseid.
Teisel juhul on parooli perioodiline muutmine kasutu.
Seega peate parooli aegumiskuupäeva asemel kasutama kõigepealt mitmefaktoriline autentimine. Täiendavad turvameetmed on loetletud ülal: keelatud paroolide loendid, toore jõu tuvastamine ja muud ebanormaalsed sisselogimiskatsed.
«Parooli perioodiline aegumine on iidne ja aegunud turvameede", järeldab Microsoft, "ja me ei usu, et meie baaskaitsetasemele oleks mingit erilist väärtust, mida tasuks rakendada. Kui eemaldate selle meie algtasemest, saavad organisatsioonid valida, mis nende tajutavatele vajadustele kõige paremini sobib, ilma et see läheks vastuollu meie soovitustega.
Väljund
Kui täna sunnib ettevõte kasutajaid oma paroole perioodiliselt muutma, mida võiks välisvaatleja arvata?
- Arvestades: ettevõte kasutab arhailist kaitsemehhanismi.
- Eeldus: ettevõte ei ole rakendanud kaasaegseid kaitsemehhanisme.
- Järeldus: neid paroole on lihtsam hankida ja kasutada.
Selgub, et paroolide perioodiline muutmine muudab ettevõtte rünnakute jaoks atraktiivsemaks sihtmärgiks.
Allikas: www.habr.com