بسیاری از سیستم های فناوری اطلاعات یک قانون اجباری برای تغییر دوره ای رمز عبور دارند. این شاید منفورترین و بی فایده ترین نیاز سیستم های امنیتی باشد. برخی از کاربران به سادگی شماره را در پایان به عنوان هک زندگی تغییر می دهند.
این عمل باعث ناراحتی های زیادی شد. با این حال، مردم مجبور بودند تحمل کنند، زیرا این به خاطر امنیت. حالا این توصیه کاملا بی ربط است. در ماه مه 2019، حتی مایکروسافت بالاخره نیاز به تغییرات دوره ای رمز عبور را از سطح اولیه الزامات امنیتی برای نسخه های شخصی و سرور ویندوز 10 حذف کرد: در اینجا با لیستی از تغییرات نسخه ویندوز 10 v 1903 (به عبارت توجه کنید حذف خط مشی های انقضای رمز عبور که نیاز به تغییر دوره ای رمز عبور دارند). خود قوانین و سیاست های سیستم Windows 10 نسخه 1903 و Windows Server 2019 Security Baseline در کیت گنجانده شده است .
می توانید این اسناد را به مافوق خود نشان دهید و بگویید: زمانه تغییر کرده است. تغییرات اجباری رمز عبور قدیمی هستند و اکنون تقریباً رسمی هستند. حتی یک ممیزی امنیتی دیگر این الزام را بررسی نمی کند (اگر بر اساس قوانین رسمی برای محافظت اولیه از رایانه های ویندوز باشد).
بخشی از یک لیست با سیاست های امنیتی اولیه برای ویندوز 10 نسخه 1809 و تغییرات در سال 1903، که در آن سیاست های انقضا رمز عبور مربوطه دیگر اعمال نمی شود. ضمناً در نسخه جدید، اکانت های مدیر و مهمان نیز به صورت پیش فرض لغو می شوند
مایکروسافت به طور معروف در یک پست وبلاگ توضیح می دهد که چرا قانون تغییر اجباری رمز عبور را کنار گذاشته است: «انقضای دوره ای رمز عبور تنها از احتمال سرقت رمز عبور (یا هش) در طول عمر آن و استفاده توسط افراد غیرمجاز محافظت می کند. اگر رمز عبور دزدیده نشده باشد، تغییر آن فایده ای ندارد. و اگر شواهدی مبنی بر دزدیده شدن رمز عبور دارید، بدیهی است که برای رفع مشکل به جای اینکه منتظر بمانید تا منقضی شود، فوراً اقدام کنید."
مایکروسافت در ادامه توضیح میدهد که در محیط امروزی، محافظت در برابر سرقت رمز عبور با استفاده از این روش مناسب نیست: «اگر میدانیم رمز عبور احتمال سرقت میرود، چند روز زمان قابل قبولی است که به دزد اجازه میدهد تا از آن رمز دزدیده شده استفاده کنید؟ مقدار پیش فرض 42 روز است. به نظر نمی رسد این مدت زمان بسیار طولانی باشد؟ در واقع، این زمان بسیار طولانی است، و با این حال خط پایه فعلی ما 60 روز - و قبلاً 90 روز - تعیین شده بود، زیرا انقضای مکرر اجباری مشکلات خاص خود را ایجاد می کند. و اگر رمز عبور لزوما به سرقت نرود، پس شما این مشکلات را بدون هیچ سودی به دست می آورید. علاوه بر این، اگر کاربران شما مایل به مبادله رمز عبور با شیرینی هستند، هیچ خط مشی انقضای رمز عبور کمکی نخواهد کرد.
جایگزین
مایکروسافت مینویسد که خطمشیهای امنیتی پایه آن برای استفاده توسط کسبوکارهایی که به خوبی مدیریت میشوند و آگاه به امنیت هستند، در نظر گرفته شده است. آنها همچنین برای ارائه راهنمایی به حسابرسان در نظر گرفته شده اند. اگر چنین سازمانی لیست های رمز عبور ممنوعه، احراز هویت چندعاملی، تشخیص حمله brute force گذرواژه و تشخیص تلاش غیرعادی برای ورود به سیستم را اجرا کرده باشد، آیا انقضای دوره ای رمز عبور لازم است؟ و اگر اقدامات امنیتی مدرن را اجرا نکرده باشند، انقضای رمز عبور به آنها کمک می کند؟
منطق مایکروسافت به طرز شگفت آوری قانع کننده است. ما دو گزینه داریم:
- این شرکت اقدامات امنیتی مدرن را اجرا کرده است.
- شرکت هیچ اقدامات امنیتی مدرن را معرفی کرده است.
در مورد اول، تغییر دوره ای رمز عبور مزایای اضافی را ارائه نمی دهد.
در حالت دوم، تغییر دوره ای رمز عبور بی فایده است.
بنابراین، به جای تاریخ انقضای رمز عبور، ابتدا باید از احراز هویت چند عاملی. اقدامات امنیتی اضافی در بالا ذکر شده است: لیستی از گذرواژههای ممنوعه، تشخیص خشونت و سایر تلاشهای غیرعادی برای ورود به سیستم.
«انقضای دوره ای رمز عبور یک اقدام امنیتی قدیمی و قدیمی استمایکروسافت نتیجه می گیرد، و ما معتقد نیستیم که ارزش خاصی برای سطح حفاظت پایه ما وجود داشته باشد. با حذف آن از پایه ما، سازمانها میتوانند بدون مغایرت با توصیههای ما، آنچه را که به بهترین وجه با نیازهای درک شدهشان مطابقت دارد، انتخاب کنند.»
نتیجه
اگر امروز یک شرکت کاربران را مجبور به تغییر دوره ای رمز عبور خود کند، یک ناظر خارجی چه فکری می کند؟
- داده شده: این شرکت از یک مکانیسم دفاعی قدیمی استفاده می کند.
- فرض: این شرکت مکانیسم های حفاظتی مدرن را اجرا نکرده است.
- نتیجه گیری: به دست آوردن و استفاده از این رمزهای عبور آسان تر است.
به نظر می رسد که تغییر دوره ای رمز عبور، یک شرکت را به هدف جذاب تری برای حملات تبدیل می کند.
منبع: www.habr.com