Monissa IT-järjestelmissä on pakollinen sääntö salasanojen säännöllisestä vaihtamisesta. Tämä on turvajärjestelmien ehkä vihatuin ja hyödyttömin vaatimus. Jotkut käyttäjät yksinkertaisesti vaihtavat numeron lopussa elämän hakkerointina.
Tämä käytäntö aiheutti paljon vaivaa. Ihmisten piti kuitenkin kestää, koska tämä varmuuden vuoksi. Nyt tämä neuvo on täysin merkityksetön. Toukokuussa 2019 jopa Microsoft poisti vihdoin vaatimuksen säännöllisistä salasanan vaihtamisesta Windows 10:n henkilökohtaisten ja palvelinversioiden perusturvallisuusvaatimusten tasolta: täältä
Voit näyttää nämä asiakirjat esimiehille ja sanoa: ajat ovat muuttuneet. Pakolliset salasanan vaihdot ovat arkaaisia, nyt lähes virallisia. Edes tietoturvatarkastus ei enää tarkista tätä vaatimusta (jos se perustuu Windows-tietokoneiden perussuojauksen virallisiin sääntöihin).
Katkelma luettelosta, joka sisältää perustietoturvakäytännöt Windows 10 v1809:lle ja muutokset vuonna 1903, jolloin vastaavat salasanan vanhenemiskäytännöt eivät enää ole voimassa. Muuten, uudessa versiossa myös järjestelmänvalvoja- ja vierastilit peruutetaan oletusarvoisesti
Microsoft selittää tunnetusti blogikirjoituksessaan, miksi se luopui pakollisesta salasanan vaihtosäännöstä: "Salasanan säännöllinen vanheneminen suojaa vain siltä varalta, että salasana (tai hash) varastetaan sen elinkaaren aikana ja luvaton henkilö käyttää sitä. Jos salasanaa ei varasteta, sitä ei kannata vaihtaa. Ja jos sinulla on todisteita siitä, että salasana on varastettu, sinun kannattaa luonnollisesti toimia välittömästi sen sijaan, että odotat sen vanhentumista ongelman korjaamiseksi."
Microsoft jatkaa, että nykyympäristössä ei ole tarkoituksenmukaista suojautua salasanavarkauksilta tällä menetelmällä: "Jos tiedetään, että salasana todennäköisesti varastetaan, kuinka monta päivää on hyväksyttävä aika antaa varas käyttää varastettua salasanaa? Oletusarvo on 42 päivää. Eikö se tunnu naurettavan pitkältä ajalta? Tämä on todellakin hyvin pitkä aika, ja silti nykyinen lähtökohtamme asetettiin 60 päivään - ja aiemmin 90 päivään -, koska toistuvien vanhenemisen pakottaminen tuo omat ongelmansa. Ja jos salasanaa ei välttämättä varasteta, hankit nämä ongelmat ilman hyötyä. Sitä paitsi, jos käyttäjäsi ovat valmiita vaihtamaan salasanan karkkiin, mikään salasanan vanhenemiskäytäntö ei auta."
vaihtoehto
Microsoft kirjoittaa, että sen perustietoturvakäytännöt on tarkoitettu hyvin johdetuille, tietoturvatietoisille yrityksille. Niiden tarkoituksena on myös antaa ohjeita tilintarkastajille. Jos tällainen organisaatio on ottanut käyttöön kiellettyjen salasanojen luettelot, monitekijätodennuksen, salasanan brute force -hyökkäyksen havaitsemisen ja poikkeavien kirjautumisyritysten havaitsemisen, vaaditaanko salasanan säännöllistä vanhenemista? Ja jos he eivät ole ottaneet käyttöön nykyaikaisia turvatoimia, auttaako salasanan vanheneminen heitä?
Microsoftin logiikka on yllättävän vakuuttava. Meillä on kaksi vaihtoehtoa:
- Yhtiö on ottanut käyttöön nykyaikaiset turvatoimet.
- yritys ei on ottanut käyttöön nykyaikaisia turvatoimia.
Ensimmäisessä tapauksessa salasanan säännöllinen vaihtaminen ei tuota lisäetuja.
Toisessa tapauksessa salasanan säännöllinen vaihtaminen on hyödytöntä.
Siksi salasanan vanhenemispäivän sijaan sinun on käytettävä ensinnäkin monivaiheinen todennus. Lisäturvatoimet on lueteltu yllä: luettelot kiellettyistä salasanoista, raa'an voiman havaitseminen ja muut epänormaalit kirjautumisyritykset.
«Säännöllinen salasanan vanheneminen on vanha ja vanhentunut turvatoimi", Microsoft päättää, "emmekä usko, että perussuojaustasollamme on mitään erityistä arvoa. Poistamalla sen lähtötilanteestamme organisaatiot voivat valita, mikä parhaiten sopii heidän kokemiinsa tarpeisiin ilman, että se on ristiriidassa suosituksemme kanssa."
johtopäätös
Jos yritys nykyään pakottaa käyttäjät vaihtamaan salasanansa ajoittain, mitä ulkopuolinen tarkkailija voisi ajatella?
- ilmoittautua: yhtiö käyttää arkaaista puolustusmekanismia.
- oletus: yhtiö ei ole ottanut käyttöön nykyaikaisia suojamekanismeja.
- Johtopäätös: nämä salasanat on helpompi hankkia ja käyttää.
Osoittautuu, että salasanojen ajoittain vaihtaminen tekee yrityksestä houkuttelevamman kohteen hyökkäyksille.
Lähde: will.com