Շատ ՏՏ համակարգեր ունեն գաղտնաբառերի պարբերաբար փոփոխման պարտադիր կանոն: Սա թերևս անվտանգության համակարգերի ամենաատելի և ամենաանօգուտ պահանջն է: Որոշ օգտատերեր պարզապես վերջում փոխում են համարը որպես կյանքի հաքեր:
Այս պրակտիկան շատ անհարմարություններ առաջացրեց։ Այնուամենայնիվ, մարդիկ ստիպված էին դիմանալ, քանի որ սա հանուն անվտանգության. Հիմա այս խորհուրդը բոլորովին անտեղի է։ 2019 թվականի մայիսին նույնիսկ Microsoft-ը վերջապես հանեց գաղտնաբառի պարբերական փոփոխության պահանջը Windows 10-ի անձնական և սերվերային տարբերակների անվտանգության հիմնական մակարդակից.
Դուք կարող եք այս փաստաթղթերը ցույց տալ ձեր վերադասներին և ասել՝ ժամանակները փոխվել են։ Գաղտնաբառի պարտադիր փոփոխությունները հնացած են, այժմ գրեթե պաշտոնական: Նույնիսկ անվտանգության աուդիտն այլևս չի ստուգի այս պահանջը (եթե այն հիմնված է Windows համակարգիչների հիմնական պաշտպանության պաշտոնական կանոնների վրա):
Ցուցակի մի հատված Windows 10 v1809-ի հիմնական անվտանգության քաղաքականություններով և 1903 թվականին կատարված փոփոխություններով, որտեղ այլևս չեն կիրառվում գաղտնաբառի ժամկետի լրանալու համապատասխան քաղաքականությունը: Ի դեպ, նոր տարբերակում լռելյայն չեղարկված են նաև ադմինիստրատորի և հյուրի հաշիվները
Microsoft-ը բլոգային գրառման մեջ հայտնի է բացատրում, թե ինչու է հրաժարվել գաղտնաբառի պարտադիր փոփոխության կանոնից. «Գաղտնաբառի պարբերական ժամկետանցությունը միայն պաշտպանում է այն հավանականությունից, որ գաղտնաբառը (կամ հեշը) գողացվելու է իր կյանքի ընթացքում և օգտագործվելու չարտոնված անձի կողմից: Եթե գաղտնաբառը չի գողացվել, ապա այն փոխելու իմաստ չկա: Եվ եթե դուք ապացույցներ ունեք, որ գաղտնաբառը գողացվել է, դուք ակնհայտորեն կցանկանաք անմիջապես գործել, այլ ոչ թե սպասել, մինչև դրա ժամկետը լրանա՝ խնդիրը շտկելու համար»:
Microsoft-ը շարունակում է բացատրել, որ այսօրվա միջավայրում տեղին չէ պաշտպանվել գաղտնաբառի գողությունից՝ օգտագործելով այս մեթոդը. օգտագործե՞լ այդ գողացված գաղտնաբառը: Լռելյայն արժեքը 42 օր է: Արդյո՞ք դա անհեթեթ երկար ժամանակ չի թվում: Իրոք, սա շատ երկար ժամանակ է, և, այնուամենայնիվ, մեր ներկայիս ելակետը սահմանվել է 60 օր, իսկ նախկինում՝ 90 օր, քանի որ հաճախակի ժամկետանց ժամկետանցության պարտադրումը բերում է իր սեփական խնդիրներին: Եվ եթե գաղտնաբառը պարտադիր չէ, որ գողացված է, ապա դուք ձեռք եք բերում այդ խնդիրները առանց օգուտի: Բացի այդ, եթե ձեր օգտատերերը ցանկանում են գաղտնաբառ փոխանակել քաղցրավենիքի հետ, ապա գաղտնաբառի ժամկետանցության ոչ մի քաղաքականություն չի օգնի»։
Альтернатива
Microsoft-ը գրում է, որ իր ելակետային անվտանգության քաղաքականությունը նախատեսված է լավ կառավարվող, անվտանգությանը գիտակցող բիզնեսների օգտագործման համար: Դրանք նաև նախատեսված են աուդիտորներին ուղղորդում տրամադրելու համար: Եթե նման կազմակերպությունն իրականացրել է արգելված գաղտնաբառերի ցուցակներ, բազմագործոն նույնականացում, գաղտնաբառի կոպիտ ուժային հարձակման հայտնաբերում և անոմալ մուտքի փորձի հայտնաբերում, գաղտնաբառի պարբերական ժամկետը պահանջվա՞ծ է: Իսկ եթե նրանք չեն իրականացրել անվտանգության ժամանակակից միջոցներ, գաղտնաբառի ժամկետի ավարտը կօգնի՞ նրանց։
Microsoft-ի տրամաբանությունը զարմանալիորեն համոզիչ է. Մենք ունենք երկու տարբերակ.
- Ընկերությունն իրականացրել է անվտանգության ժամանակակից միջոցներ։
- ընկերություն ոչ ներդրել է անվտանգության ժամանակակից միջոցներ։
Առաջին դեպքում գաղտնաբառի պարբերաբար փոփոխությունը լրացուցիչ առավելություններ չի տալիս։
Երկրորդ դեպքում գաղտնաբառի պարբերաբար փոփոխությունն անօգուտ է։
Այսպիսով, գաղտնաբառի գործողության ժամկետի փոխարեն, նախ և առաջ անհրաժեշտ է օգտագործել. բազմագործոն նույնականացում. Անվտանգության լրացուցիչ միջոցները թվարկված են վերևում՝ արգելված գաղտնաբառերի ցուցակներ, կոպիտ ուժի հայտնաբերում և մուտք գործելու այլ անոմալ փորձեր:
«Գաղտնաբառի պարբերական ժամկետի ավարտը հնագույն և հնացած անվտանգության միջոց էMicrosoft-ը եզրափակում է,- և մենք չենք հավատում, որ որևէ հատուկ արժեք կա, որն արժե կիրառել մեր ելակետային պաշտպանության մակարդակի համար: Հեռացնելով այն մեր ելակետից՝ կազմակերպությունները կարող են ընտրել այն, ինչը լավագույնս համապատասխանում է իրենց ընկալվող կարիքներին՝ չհակասելով մեր առաջարկություններին»:
Արտադրողականություն
Եթե ընկերությունն այսօր ստիպում է օգտատերերին պարբերաբար փոխել իրենց գաղտնաբառերը, ի՞նչ կարող է մտածել արտաքին դիտորդը:
- Տրված է. ընկերությունն օգտագործում է հնացած պաշտպանական մեխանիզմ:
- Ենթադրություն: ընկերությունը չի ներդրել ժամանակակից պաշտպանիչ մեխանիզմներ։
- Եզրակացություն. այս գաղտնաբառերը ավելի հեշտ է ձեռք բերել և օգտագործել:
Պարզվում է, որ գաղտնաբառերի պարբերաբար փոփոխությունը ընկերությունն ավելի գրավիչ թիրախ է դարձնում հարձակումների համար։
Source: www.habr.com