Anpil sistèm IT gen yon règ obligatwa pou chanje modpas detanzantan. Sa a se petèt kondisyon ki pi rayi ak pi initil nan sistèm sekirite. Gen kèk itilizatè tou senpleman chanje nimewo a nan fen an kòm yon Hack lavi.
Pratik sa a te lakòz anpil deranjman. Sepandan, moun yo te oblije andire, paske sa a pou dedomajman pou sekirite. Koulye a, konsèy sa a se konplètman petinan. Nan mwa me 2019, menm Microsoft finalman retire egzijans pou chanjman modpas peryodik nan nivo debaz kondisyon sekirite pou vèsyon pèsonèl ak sèvè Windows 10: isit la ak yon lis chanjman nan vèsyon Windows 10 v 1903 (note fraz la Depoze politik modpas-eksirasyon ki mande chanjman modpas peryodik). Règ yo tèt yo ak politik sistèm yo Windows 10 Version 1903 ak Windows Server 2019 Security Baseline enkli nan twous la .
Ou ka montre dokiman sa yo bay siperyè ou yo epi di: tan yo chanje. Chanjman modpas obligatwa yo akayik, kounye a prèske ofisyèl. Menm yon odit sekirite p ap tcheke egzijans sa a ankò (si li baze sou règ ofisyèl yo pou pwoteksyon debaz òdinatè Windows yo).
Yon fragman nan yon lis ak règleman sekirite debaz pou Windows 10 v1809 ak chanjman nan 1903, kote règleman yo ekspirasyon modpas ki koresponn pa aplike ankò. By wout la, nan nouvo vèsyon an, administratè ak kont envite yo tou anile pa default
Microsoft selèb eksplike nan yon pòs blog poukisa li te abandone règ obligatwa pou chanje modpas la: "Mopas ekspirasyon peryodik sèlman pwoteje kont posiblite pou modpas la (oswa hash) yo pral vòlè pandan lavi li epi itilize pa yon moun ki pa otorize. Si yo pa vòlè modpas la, pa gen okenn pwen pou chanje li. Men, si ou gen prèv ke yo te vòlè yon modpas, ou pral evidamman vle aji imedyatman olye ke tann jiskaske li ekspire pou rezoud pwoblèm nan."
Microsoft kontinye pou eksplike ke nan anviwònman jodi a li pa apwopriye pou pwoteje kont vòl modpas lè l sèvi avèk metòd sa a: "Si yo konnen ke yon modpas gen chans pou yo vòlè, konbyen jou se yon peryòd tan akseptab pou pèmèt yon vòlè. itilize modpas yo vòlè sa a? Valè default la se 42 jou. Èske sa pa sanble yon tan ridikil long? Vreman vre, sa a se yon tan trè long, e ankò debaz aktyèl nou an te fikse nan 60 jou - ak deja nan 90 jou - paske fòse ekspirasyon souvan prezante pwòp pwoblèm li yo. Men, si modpas la pa nesesèman yo vòlè li, Lè sa a, w ap trape pwoblèm sa yo pou pa gen okenn benefis. Anplis, si itilizatè ou yo vle chanje yon modpas pou sirèt, pa gen okenn politik ekspirasyon modpas ap ede.
Altènatif
Microsoft ekri ke règleman sekirite debaz li yo fèt pou itilize pa biznis ki byen jere, ki gen konsyans sekirite. Yo gen entansyon tou pou bay oditè konsèy yo. Si yon òganizasyon konsa te aplike lis modpas entèdi, otantifikasyon milti-faktè, modpas deteksyon atak fòs brital, ak deteksyon anòmal tantativ koneksyon, èske modpas ekspirasyon peryodik obligatwa? Men, si yo pa te aplike mezi sekirite modèn, èske modpas ekspirasyon ede yo?
Lojik Microsoft a se etonan konvenk. Nou gen de opsyon:
- Konpayi an te aplike mezi sekirite modèn.
- konpayi pa gen okenn te prezante mezi sekirite modèn.
Nan premye ka a, detanzantan chanje modpas la pa bay benefis adisyonèl.
Nan dezyèm ka a, detanzantan chanje modpas la pa itil.
Kidonk, olye pou yo dat ekspirasyon modpas la, ou bezwen itilize, premye a, otantifikasyon milti-faktè. Lòt mezi sekirite yo ki nan lis pi wo a: lis modpas entèdi, deteksyon fòs brital ak lòt tantativ login anòmal.
«Modpas peryodik ekspirasyon se yon mezi sekirite ansyen ak demode", Microsoft konkli, "e nou pa kwè gen okenn valè espesifik ki vo aplike nan nivo pwoteksyon debaz nou an. Lè yo retire li nan debaz nou an, òganizasyon yo ka chwazi sa ki pi byen adapte ak bezwen yo konnen yo san yo pa konfli ak rekòmandasyon nou yo.”
Sòti
Si yon konpayi jodi a fòse itilizatè yo chanje modpas yo detanzantan, ki sa yon obsèvatè deyò ta ka panse?
- Etandone: konpayi an sèvi ak yon mekanis defans akayik.
- Sipozisyon: konpayi an pa te aplike mekanis pwoteksyon modèn.
- Konklizyon: modpas sa yo pi fasil pou jwenn ak itilize.
Li sanble ke modpas detanzantan chanje fè yon konpayi yon sib pi atire pou atak.
Sous: www.habr.com