In protte IT-systemen hawwe in ferplichte regel fan periodyk wizigjen fan wachtwurden. Dit is miskien de meast hate en meast nutteleaze eask fan feiligenssystemen. Guon brûkers feroarje gewoan it nûmer oan 'e ein as in libbenshack.

Dizze praktyk soarge foar in soad oerlêst. Lykwols, minsken moasten ferneare, omdat dit foar feiligens wille. No is dit advys folslein irrelevant. Yn maaie 2019 hat sels Microsoft úteinlik de eask foar periodike wachtwurdwizigingen fuortsmiten fan it basisnivo fan feiligenseasken foar persoanlike en serverferzjes fan Windows 10: hjir offisjele blog ferklearring mei in list mei feroarings oan ferzje Windows 10 v 1903 (note de sin It ferlitten fan it belied foar ferrinnen fan wachtwurden dy't periodike wachtwurdwizigingen fereaskje). De regels sels en systeem belied Windows 10 Ferzje 1903 en Windows Server 2019 Security Baseline opnommen yn 'e kit Microsoft Security Compliance Toolkit 1.0.

Jo kinne dizze dokuminten oan jo superieuren sjen litte en sizze: tiden binne feroare. Ferplichte wachtwurdwizigingen binne archaïsk, no hast offisjeel. Sels in feiligenskontrôle sil dizze eask net langer kontrolearje (as it basearre is op 'e offisjele regels foar basisbeskerming fan Windows-kompjûters).


In fragmint fan in list mei basisfeiligensbelied foar Windows 10 v1809 en feroaringen yn 1903, wêr't it oerienkommende belied foar ferfaldatum fan wachtwurden net mear jildt. Trouwens, yn 'e nije ferzje wurde behearder- en gastakkounts ek standert annulearre

Microsoft ferklearret ferneamd yn in blogpost wêrom't it de ferplichte wachtwurdwizigingsregel ferlitten hat: "Periodyske ferrin fan wachtwurd beskermet allinich tsjin de mooglikheid dat it wachtwurd (of hash) yn syn libben stellen wurdt en wurdt brûkt troch in net autorisearre persoan. As it wachtwurd net stellen is, hat it gjin punt om it te feroarjen. En as jo bewiis hawwe dat in wachtwurd stellen is, wolle jo fansels fuortendaliks hannelje ynstee fan wachtsje oant it ferrint om it probleem op te lossen."

Microsoft ferklearret fierder dat it yn 'e hjoeddeistige omjouwing net passend is om te beskermjen tsjin wachtwurdstellerij mei dizze metoade: "As it bekend is dat in wachtwurd wierskynlik stellen wurdt, hoefolle dagen is dan in akseptabele tiid om in dief te tastean brûke dat stellen wachtwurd? De standertwearde is 42 dagen. Liket dat net in bespotlik lange tiid? Yndie, dit is in heul lange tiid, en dochs waard ús hjoeddeistige basisline ynsteld op 60 dagen - en earder op 90 dagen - om't it twingen fan faak ferrinnen syn eigen problemen yntrodusearret. En as it wachtwurd net needsaaklik is stellen, dan krije jo dizze problemen foar gjin foardiel. Derneist, as jo brûkers ree binne om in wachtwurd te ruiljen foar snoep, sil gjin belied foar ferfaldatum fan wachtwurden helpe.

Alternative

Microsoft skriuwt dat syn baseline feiligensbelied bedoeld is foar gebrûk troch goed behearde, feiligensbewuste bedriuwen. Se binne ek bedoeld om begelieding te jaan oan auditors. As sa'n organisaasje hat ymplementearre ferbeane wachtwurden listen, multi-faktor autentikaasje, wachtwurd brute force oanfal opspoaren, en abnormale oanmeldpoging detectie, is periodyk ferrinnen fan wachtwurden fereaske? En as se gjin moderne feiligensmaatregels hawwe ymplementearre, sil it ferrinnen fan wachtwurden dan helpe?

De logika fan Microsoft is ferrassend oertsjûgjend. Wy hawwe twa opsjes:

1. It bedriuw hat moderne feiligensmaatregels ynfierd.
2. It bedriuw net hat yntrodusearre moderne feiligens maatregels.

Yn it earste gefal jout it periodyk wizigjen fan it wachtwurd gjin ekstra foardielen.

Yn it twadde gefal is it periodyk wizigjen fan it wachtwurd nutteloos.

Sa, ynstee fan de ferfaldatum fan it wachtwurd, moatte jo earst brûke, multi-faktor autentikaasje. Oanfoljende feiligensmaatregels wurde hjirboppe neamd: listen mei ferbeane wachtwurden, detectie fan brute krêft en oare abnormale oanmeldpogingen.

«Periodyk ferrinnen fan wachtwurden is in âlde en ferâldere feiligensmaatregel", konkludearret Microsoft, "en wy leauwe net dat d'r in spesifike wearde is dy't it wurdich is oan te passen op ús basislinebeskermingsnivo. Troch it fan ús basisline te ferwiderjen, kinne organisaasjes kieze wat it bêste past by har waarnommen behoeften sûnder yn striid te wêzen mei ús oanbefellings. ”

konklúzje

As in bedriuw hjoed de dei brûkers twingt om har wachtwurden periodyk te feroarjen, wat kin dan in waarnimmer fan bûten tinke?

1. Jûn: it bedriuw brûkt in argaysk ferdigeningsmeganisme.
2. Ferûnderstelling: it bedriuw hat gjin moderne beskermjende meganismen ymplementearre.
3. Fermelding: dizze wachtwurden binne makliker te krijen en te brûken.

It docht bliken dat it periodyk feroarjen fan wachtwurden in bedriuw in oantrekliker doel makket foar oanfallen.

Boarne: www.habr.com