Sok informatikai rendszerben kötelező a rendszeres jelszavak cseréje. Talán ez a biztonsági rendszerek leggyűlöltebb és leghaszontalanabb követelménye. Egyes felhasználók életfeltörésként egyszerűen megváltoztatják a számot a végén.

Ez a gyakorlat sok kellemetlenséget okozott. Az embereknek azonban el kellett viselniük, mert ez a biztonság kedvéért. Ez a tanács most teljesen irreleváns. 2019 májusában még a Microsoft is eltávolította a rendszeres jelszómódosítás követelményét a Windows 10 személyes és szerververzióinak alapvető biztonsági szintjéről: itt hivatalos blogbejegyzés a Windows 10 v1903 verzió változásainak listájával (figyelje meg a kifejezést A rendszeres jelszómódosítást igénylő jelszó-lejárati házirendek elvetése). Maguk a szabályok és a rendszerszabályzatok Windows 10 Version 1903 és Windows Server 2019 Security Baseline a készlet tartalmazza Microsoft Security Compliance Toolkit 1.0.

Megmutathatja ezeket a dokumentumokat a feletteseinek, és azt mondhatja: megváltoztak az idők. A kötelező jelszómódosítások archaikusak, ma már szinte hivatalosak. Ezt a követelményt már a biztonsági audit sem fogja ellenőrizni (ha az a Windows számítógépek alapvető védelmére vonatkozó hivatalos szabályokon alapul).


A Windows 10 v1809 rendszerre vonatkozó alapvető biztonsági házirendeket és az 1903-ban bekövetkezett változásokat tartalmazó lista töredéke, ahol a megfelelő jelszólejárati házirendek már nem érvényesek. Az új verzióban egyébként alapértelmezés szerint az adminisztrátori és a vendégfiókok is törlésre kerülnek

A Microsoft egy blogbejegyzésben híresen kifejti, miért hagyta el a kötelező jelszómódosítási szabályt: „A jelszó időszakos lejárata csak az ellen véd, hogy a jelszót (vagy hash-t) az élettartama során ellopják és illetéktelen személy felhasználja. Ha a jelszót nem lopják el, akkor nincs értelme megváltoztatni. Ha pedig bizonyítéka van arra, hogy egy jelszót elloptak, akkor nyilvánvalóan azonnal cselekednie kell, ahelyett, hogy megvárná, amíg lejár a probléma megoldásával."

A Microsoft a továbbiakban kifejti, hogy a mai környezetben nem célszerű ezzel a módszerrel védekezni a jelszólopás ellen: „Ha ismert, hogy egy jelszót valószínűleg ellopnak, hány nap az elfogadható időtartam, amíg a tolvaj el nem lopja. használja az ellopott jelszót? Az alapértelmezett érték 42 nap. Nem tűnik nevetségesen hosszú időnek? Valóban, ez nagyon hosszú idő, és a jelenlegi alapvonalunkat mégis 60 napban határoztuk meg - korábban pedig 90 napban -, mert a gyakori lejáratok kényszerítése saját problémákat vet fel. És ha a jelszót nem feltétlenül lopták el, akkor ezeket a problémákat haszontalanul szerzi meg. Ezen túlmenően, ha a felhasználók hajlandóak jelszavukat édességre cserélni, semmiféle jelszó-lejárati szabályzat nem segít.”

alternatív

A Microsoft azt írja, hogy alapvető biztonsági szabályzatait jól irányított, biztonságtudatos vállalkozások számára szánják. Céljuk továbbá, hogy iránymutatást nyújtsanak a könyvvizsgálóknak. Ha egy ilyen szervezet bevezette a tiltott jelszavak listáját, a többtényezős hitelesítést, a brute force támadások felismerését és a rendellenes bejelentkezési kísérletek észlelését, akkor szükség van a jelszó időszakos lejáratára? És ha nem vezettek be modern biztonsági intézkedéseket, akkor a jelszavak lejáratása segít rajtuk?

A Microsoft logikája meglepően meggyőző. Két lehetőségünk van:

1. A cég korszerű biztonsági intézkedéseket vezetett be.
2. társaság nincs modern biztonsági intézkedéseket vezetett be.

Az első esetben a jelszó időszakos megváltoztatása nem jár további előnyökkel.

A második esetben a jelszó időszakos megváltoztatása haszontalan.

Így a jelszó lejárati dátuma helyett mindenekelőtt a többtényezős hitelesítés. A további biztonsági intézkedések a fent felsoroltak: a tiltott jelszavak listája, a nyers erő észlelése és egyéb rendellenes bejelentkezési kísérletek.

«A jelszó időszakos lejárata ősi és elavult biztonsági intézkedés" - foglalja össze a Microsoft -, és nem hisszük, hogy van olyan konkrét érték, amelyet érdemes alkalmazni az alapszintű védelmi szintre. Azáltal, hogy eltávolítjuk az alaphelyzetünkből, a szervezetek kiválaszthatják azt, ami a legjobban megfelel észlelt igényeiknek anélkül, hogy az ajánlásainkba ütközne.”

Teljesítmény

Ha egy vállalat manapság arra kényszeríti a felhasználókat, hogy rendszeres időközönként módosítsák jelszavaikat, mit gondolhat egy külső szemlélő?

1. adott: a cég archaikus védekezési mechanizmust alkalmaz.
2. Feltevés: a vállalat nem vezetett be modern védelmi mechanizmusokat.
3. Következtetés: ezek a jelszavak könnyebben beszerezhetők és használhatók.

Kiderült, hogy a jelszavak időszakos megváltoztatása vonzóbbá teszi a vállalatot a támadások célpontjává.

Forrás: will.com