Mnogi IT sustavi imaju obvezno pravilo povremene promjene lozinki. Ovo je možda najomraženiji i najbeskorisniji zahtjev sigurnosnih sustava. Neki korisnici jednostavno promijene broj na kraju kao life hack.
Ova praksa izazvala je mnogo neugodnosti. Međutim, ljudi su morali izdržati, jer ovo zbog sigurnosti. Sada je ovaj savjet potpuno nebitan. U svibnju 2019. čak je i Microsoft konačno uklonio zahtjev za povremenim promjenama lozinki iz osnovne razine sigurnosnih zahtjeva za osobne i poslužiteljske verzije sustava Windows 10: ovdje
Te dokumente možete pokazati nadređenima i reći: vremena su se promijenila. Obavezne promjene lozinki su arhaične, sada gotovo službene. Čak ni revizija sigurnosti više neće provjeravati ovaj zahtjev (ako se temelji na službenim pravilima za osnovnu zaštitu Windows računala).
Fragment popisa s osnovnim sigurnosnim pravilima za Windows 10 v1809 i promjenama u 1903, gdje se odgovarajuća pravila isteka lozinke više ne primjenjuju. Usput, u novoj verziji, računi administratora i gostiju također su otkazani prema zadanim postavkama
Microsoft slavno objašnjava u postu na blogu zašto je napustio pravilo o obaveznoj promjeni lozinke: “Periodični istek lozinke štiti samo od mogućnosti da lozinka (ili hash) bude ukradena tijekom svog trajanja i korištena od strane neovlaštene osobe. Ako lozinka nije ukradena, nema je smisla mijenjati. A ako imate dokaz da je lozinka ukradena, očito ćete htjeti djelovati odmah, a ne čekati da istekne da biste riješili problem."
Microsoft dalje objašnjava da u današnjem okruženju nije prikladno zaštititi se od krađe lozinke ovom metodom: “Ako je poznato da će lozinka vjerojatno biti ukradena, koliko je dana prihvatljivo vremensko razdoblje da se lopovu omogući da koristiti tu ukradenu lozinku? Zadana vrijednost je 42 dana. Ne čini li se to smiješno dugo? Doista, ovo je jako dugo vrijeme, a ipak je naša trenutna osnovna vrijednost bila postavljena na 60 dana - a ranije na 90 dana - jer forsiranje čestih isteka predstavlja svoje probleme. A ako lozinka nije nužno ukradena, tada stječete ove probleme bez ikakve koristi. Osim toga, ako su vaši korisnici voljni zamijeniti lozinku za slatkiše, nikakva politika isteka lozinke neće pomoći.”
alternativa
Microsoft piše da su njegove osnovne sigurnosne politike namijenjene dobro vođenim tvrtkama koje brinu o sigurnosti. Također su namijenjeni pružanju smjernica revizorima. Ako je takva organizacija implementirala zabranjene popise zaporki, multifaktorsku autentifikaciju, detekciju napada brutalnom silom lozinke i detekciju nenormalnog pokušaja prijave, je li potrebno periodično istekanje lozinke? A ako nisu implementirali moderne sigurnosne mjere, hoće li im istek lozinke pomoći?
Microsoftova logika je iznenađujuće uvjerljiva. Imamo dvije mogućnosti:
- Tvrtka je implementirala suvremene sigurnosne mjere.
- poduzeće ne je uveo moderne sigurnosne mjere.
U prvom slučaju, povremeno mijenjanje lozinke ne donosi dodatne pogodnosti.
U drugom slučaju, povremeno mijenjanje lozinke je beskorisno.
Dakle, umjesto datuma isteka lozinke, trebate koristiti, prije svega, provjera autentičnosti s više faktora. Gore su navedene dodatne sigurnosne mjere: popisi zabranjenih lozinki, otkrivanje grube sile i drugih nepravilnih pokušaja prijave.
«Periodički istek lozinke stara je i zastarjela sigurnosna mjera", Microsoft zaključuje, "i ne vjerujemo da postoji bilo kakva određena vrijednost vrijedna primjene na našu osnovnu razinu zaštite. Uklanjanjem toga iz naše osnovne vrijednosti, organizacije mogu odabrati ono što najbolje odgovara njihovim percipiranim potrebama bez sukoba s našim preporukama.”
Izlaz
Ako tvrtka danas prisiljava korisnike da povremeno mijenjaju svoje lozinke, što bi vanjski promatrač mogao pomisliti?
- dati: tvrtka koristi arhaični obrambeni mehanizam.
- Pretpostavka: tvrtka nije implementirala moderne zaštitne mehanizme.
- Zaključak: te je lozinke lakše dobiti i koristiti.
Ispostavilo se da povremeno mijenjanje lozinki tvrtku čini privlačnijom metom za napade.
Izvor: www.habr.com