Շատ ՏՏ համակարգեր ունեն գաղտնաբառերի պարբերաբար փոփոխման պարտադիր կանոն: Սա թերևս անվտանգության համակարգերի ամենաատելի և ամենաանօգուտ պահանջն է: Որոշ օգտատերեր պարզապես վերջում փոխում են համարը որպես կյանքի հաքեր:

Այս պրակտիկան շատ անհարմարություններ առաջացրեց։ Այնուամենայնիվ, մարդիկ ստիպված էին դիմանալ, քանի որ սա հանուն անվտանգության. Հիմա այս խորհուրդը բոլորովին անտեղի է։ 2019 թվականի մայիսին նույնիսկ Microsoft-ը վերջապես հանեց գաղտնաբառի պարբերական փոփոխության պահանջը Windows 10-ի անձնական և սերվերային տարբերակների անվտանգության հիմնական մակարդակից. պաշտոնական բլոգի հայտարարություն Windows 10 v 1903 տարբերակի փոփոխությունների ցանկով (նկատի ունեցեք արտահայտությունը Գաղտնաբառի ժամկետանց քաղաքականությունից հրաժարվելը, որը պահանջում է գաղտնաբառի պարբերական փոփոխություններ) Ինքնին կանոնները և համակարգի քաղաքականությունը Windows 10 տարբերակ 1903 և Windows Server 2019 անվտանգության բազային ներառված է հավաքածուի մեջ Microsoft Security Compliance Toolkit 1.0.

Դուք կարող եք այս փաստաթղթերը ցույց տալ ձեր վերադասներին և ասել՝ ժամանակները փոխվել են։ Գաղտնաբառի պարտադիր փոփոխությունները հնացած են, այժմ գրեթե պաշտոնական: Նույնիսկ անվտանգության աուդիտն այլևս չի ստուգի այս պահանջը (եթե այն հիմնված է Windows համակարգիչների հիմնական պաշտպանության պաշտոնական կանոնների վրա):


Ցուցակի մի հատված Windows 10 v1809-ի հիմնական անվտանգության քաղաքականություններով և 1903 թվականին կատարված փոփոխություններով, որտեղ այլևս չեն կիրառվում գաղտնաբառի ժամկետի լրանալու համապատասխան քաղաքականությունը: Ի դեպ, նոր տարբերակում լռելյայն չեղարկված են նաև ադմինիստրատորի և հյուրի հաշիվները

Microsoft-ը բլոգային գրառման մեջ հայտնի է բացատրում, թե ինչու է հրաժարվել գաղտնաբառի պարտադիր փոփոխության կանոնից. «Գաղտնաբառի պարբերական ժամկետանցությունը միայն պաշտպանում է այն հավանականությունից, որ գաղտնաբառը (կամ հեշը) գողացվելու է իր կյանքի ընթացքում և օգտագործվելու չարտոնված անձի կողմից: Եթե ​​գաղտնաբառը չի գողացվել, ապա այն փոխելու իմաստ չկա: Եվ եթե դուք ապացույցներ ունեք, որ գաղտնաբառը գողացվել է, դուք ակնհայտորեն կցանկանաք անմիջապես գործել, այլ ոչ թե սպասել, մինչև դրա ժամկետը լրանա՝ խնդիրը շտկելու համար»:

Microsoft-ը շարունակում է բացատրել, որ այսօրվա միջավայրում տեղին չէ պաշտպանվել գաղտնաբառի գողությունից՝ օգտագործելով այս մեթոդը. օգտագործե՞լ այդ գողացված գաղտնաբառը: Լռելյայն արժեքը 42 օր է: Արդյո՞ք դա անհեթեթ երկար ժամանակ չի թվում: Իրոք, սա շատ երկար ժամանակ է, և, այնուամենայնիվ, մեր ներկայիս ելակետը սահմանվել է 60 օր, իսկ նախկինում՝ 90 օր, քանի որ հաճախակի ժամկետանց ժամկետանցության պարտադրումը բերում է իր սեփական խնդիրներին: Եվ եթե գաղտնաբառը պարտադիր չէ, որ գողացված է, ապա դուք ձեռք եք բերում այդ խնդիրները առանց օգուտի: Բացի այդ, եթե ձեր օգտատերերը ցանկանում են գաղտնաբառ փոխանակել քաղցրավենիքի հետ, ապա գաղտնաբառի ժամկետանցության ոչ մի քաղաքականություն չի օգնի»։

Альтернатива

Microsoft-ը գրում է, որ իր ելակետային անվտանգության քաղաքականությունը նախատեսված է լավ կառավարվող, անվտանգությանը գիտակցող բիզնեսների օգտագործման համար: Դրանք նաև նախատեսված են աուդիտորներին ուղղորդում տրամադրելու համար: Եթե ​​նման կազմակերպությունն իրականացրել է արգելված գաղտնաբառերի ցուցակներ, բազմագործոն նույնականացում, գաղտնաբառի կոպիտ ուժային հարձակման հայտնաբերում և անոմալ մուտքի փորձի հայտնաբերում, գաղտնաբառի պարբերական ժամկետը պահանջվա՞ծ է: Իսկ եթե նրանք չեն իրականացրել անվտանգության ժամանակակից միջոցներ, գաղտնաբառի ժամկետի ավարտը կօգնի՞ նրանց։

Microsoft-ի տրամաբանությունը զարմանալիորեն համոզիչ է. Մենք ունենք երկու տարբերակ.

1. Ընկերությունն իրականացրել է անվտանգության ժամանակակից միջոցներ։
2. ընկերություն ոչ ներդրել է անվտանգության ժամանակակից միջոցներ։

Առաջին դեպքում գաղտնաբառի պարբերաբար փոփոխությունը լրացուցիչ առավելություններ չի տալիս։

Երկրորդ դեպքում գաղտնաբառի պարբերաբար փոփոխությունն անօգուտ է։

Այսպիսով, գաղտնաբառի գործողության ժամկետի փոխարեն, նախ և առաջ անհրաժեշտ է օգտագործել. բազմագործոն նույնականացում. Անվտանգության լրացուցիչ միջոցները թվարկված են վերևում՝ արգելված գաղտնաբառերի ցուցակներ, կոպիտ ուժի հայտնաբերում և մուտք գործելու այլ անոմալ փորձեր:

«Գաղտնաբառի պարբերական ժամկետի ավարտը հնագույն և հնացած անվտանգության միջոց էMicrosoft-ը եզրափակում է,- և մենք չենք հավատում, որ որևէ հատուկ արժեք կա, որն արժե կիրառել մեր ելակետային պաշտպանության մակարդակի համար: Հեռացնելով այն մեր ելակետից՝ կազմակերպությունները կարող են ընտրել այն, ինչը լավագույնս համապատասխանում է իրենց ընկալվող կարիքներին՝ չհակասելով մեր առաջարկություններին»:

Արտադրողականություն

Եթե ​​ընկերությունն այսօր ստիպում է օգտատերերին պարբերաբար փոխել իրենց գաղտնաբառերը, ի՞նչ կարող է մտածել արտաքին դիտորդը:

1. Տրված է. ընկերությունն օգտագործում է հնացած պաշտպանական մեխանիզմ:
2. Ենթադրություն: ընկերությունը չի ներդրել ժամանակակից պաշտպանիչ մեխանիզմներ։
3. Եզրակացություն. այս գաղտնաբառերը ավելի հեշտ է ձեռք բերել և օգտագործել:

Պարզվում է, որ գաղտնաբառերի պարբերաբար փոփոխությունը ընկերությունն ավելի գրավիչ թիրախ է դարձնում հարձակումների համար։

Source: www.habr.com