Informatika-sistema askok pasahitzak aldian-aldian aldatzeko derrigorrezko araua dute. Hau da, beharbada, segurtasun sistemen eskakizun gorrotatuena eta alferrikakoa. Erabiltzaile batzuek amaieran zenbakia aldatu besterik ez dute bizitzako hack gisa.

Praktika honek eragozpen asko eragin zituen. Hala ere, jendeak jasan behar izan zuen, hau delako segurtasunagatik. Orain aholku honek guztiz ez du garrantzirik. 2019ko maiatzean, nahiz eta Microsoft-ek behin-behineko pasahitzak aldatzeko eskakizuna kendu zuen Windows 10-ren bertsio pertsonal eta zerbitzarietarako oinarrizko segurtasun-eskakizunetatik: hemen blog ofizialaren adierazpena Windows 10 v 1903 bertsioaren aldaketen zerrenda batekin (kontuan izan esaldia Pasahitz-iraungitze-politikak ezabatzea aldizkako pasahitzak aldatzea eskatzen duten). Arauak beraiek eta sistemaren politikak Windows 10 1903 bertsioa eta Windows Server 2019 Segurtasun oinarrizko lerroa kitean sartuta Microsoft Security Compliance Toolkit 1.0.

Dokumentu hauek zure nagusiei erakutsi eta esan: garaiak aldatu dira. Derrigorrezko pasahitz aldaketak arkaikoak dira, orain ia ofizialak. Segurtasun-ikuskaritzak ere ez du baldintza hori egiaztatuko (Windows ordenagailuen oinarrizko babeserako arau ofizialetan oinarritzen bada).


Windows 10 v1809rako oinarrizko segurtasun-politikak eta 1903ko aldaketak dituen zerrenda baten zati bat, non dagozkion pasahitzak iraungitzeko politikak aplikatzen ez diren. Bide batez, bertsio berrian, administratzaile eta gonbidatu kontuak ere baliogabetzen dira lehenespenez

Microsoft-ek blogeko argitalpen batean azaltzen du zergatik alde batera utzi zuen derrigorrezko pasahitza aldatzeko araua: "Aldizkako pasahitzak iraungitzeak bizitzan zehar pasahitza (edo hash) lapurtu eta baimendu gabeko pertsona batek erabiliko duen aukeratik babesten du. Pasahitza lapurtzen ez bada, ez du balio aldatzea. Eta pasahitz bat lapurtu izanaren frogarik baduzu, jakina, berehala jardun nahi duzula arazoa konpontzeko iraungi arte itxaron beharrean".

Microsoft-ek azaldu du gaur egungo ingurunean ez dela egokia metodo hau erabiliz pasahitz lapurretaren aurka babestea: "Pasahitz bat lapurtzea litekeena dela jakiten bada, zenbat egun da lapur bati baimena emateko epe onargarria. lapurtutako pasahitz hori erabili? Balio lehenetsia 42 egunekoa da. Ez al zaizu denbora barregarri luzea iruditzen? Izan ere, oso denbora luzea da, eta, hala ere, gure egungo oinarri-lerroa 60 egunetan ezarri zen - eta lehen 90 egunetan - maiz iraungitzeak bere arazoak sortzen dituelako. Eta pasahitza nahitaez lapurtzen ez bada, arazo hauek lortzen ari zara onurarik gabe. Gainera, zure erabiltzaileak pasahitz bat gozokien truke trukatzeko prest badaude, ez du pasahitza iraungitze politikarik lagunduko.

alternatiboak

Microsoft-ek idazten du bere oinarrizko segurtasun-politikak ondo kudeatutako eta segurtasuna duten negozioek erabiltzeko pentsatuta daudela. Ikuskariei orientazioa ere eman nahi zaie. Erakunde horrek debekatutako pasahitz zerrendak, faktore anitzeko autentifikazioa, pasahitzaren indar gordineko erasoen detekzioa eta saioa hasteko saiakera anomaloak detektatu baditu, beharrezkoa al da pasahitza aldizkako iraungitzea? Eta segurtasun neurri modernoak ezarri ez badituzte, pasahitzak iraungitzeak lagunduko al die?

Microsoft-en logika harrigarriro sinesgarria da. Bi aukera ditugu:

1. Enpresak segurtasun neurri modernoak ezarri ditu.
2. Enpresaren ez segurtasun neurri modernoak ezarri ditu.

Lehenengo kasuan, pasahitza aldian-aldian aldatzeak ez du abantaila gehigarririk ematen.

Bigarren kasuan, aldian-aldian pasahitza aldatzeak ez du ezertarako balio.

Horrela, pasahitzaren iraungitze-dataren ordez, lehenik eta behin, erabili behar duzu faktore anitzeko autentifikazioa. Segurtasun-neurri osagarriak goian zerrendatzen dira: debekatutako pasahitzen zerrendak, indar gordinaren detekzioa eta saioa hasteko saiakera anormalak.

«Aldian behin pasahitzak iraungitzea segurtasun neurri zahar eta zaharkitua da", ondorioztatu du Microsoftek, "eta ez dugu uste balio zehatzik gure oinarrizko babes mailari aplikatzea merezi duenik. Gure oinarritik kenduz, erakundeek hautemandako beharretara hobekien egokitzen dena hauta dezakete gure gomendioekin gatazkarik izan gabe".

Irteera

Gaur egun enpresa batek erabiltzaileak aldian-aldian pasahitzak aldatzera behartzen baditu, zer pentsa lezake kanpoko begirale batek?

1. Emana: enpresak defentsa mekanismo arkaiko bat erabiltzen du.
2. Suposizioa: konpainiak ez ditu babes-mekanismo modernorik ezarri.
3. Ondorioa: pasahitz hauek errazago eskuratzen eta erabiltzen dira.

Ematen du aldian-aldian pasahitzak aldatzeak enpresa bat erasoen helburu erakargarriagoa bihurtzen duela.

Iturria: www.habr.com