Banyak sistem TI memiliki aturan wajib untuk mengubah kata sandi secara berkala. Ini mungkin merupakan persyaratan sistem keamanan yang paling dibenci dan paling tidak berguna. Beberapa pengguna hanya mengubah nomor di akhir sebagai peretasan seumur hidup.
Praktek ini menyebabkan banyak ketidaknyamanan. Namun, masyarakat harus bertahan, karena ini demi keamanan. Sekarang nasihat ini sama sekali tidak relevan. Pada Mei 2019, bahkan Microsoft akhirnya menghapus persyaratan perubahan kata sandi berkala dari persyaratan keamanan tingkat dasar untuk versi pribadi dan server Windows 10: di sini dengan daftar perubahan versi Windows 10 v 1903 (perhatikan kalimat Menghapus kebijakan masa berlaku kata sandi yang memerlukan perubahan kata sandi secara berkala). Aturannya sendiri dan kebijakan sistemnya Garis Dasar Keamanan Windows 10 Versi 1903 dan Windows Server 2019 termasuk dalam kit .
Anda dapat menunjukkan dokumen-dokumen ini kepada atasan Anda dan berkata: zaman telah berubah. Perubahan kata sandi wajib sudah kuno, sekarang hampir resmi. Bahkan audit keamanan tidak akan lagi memeriksa persyaratan ini (jika didasarkan pada aturan resmi untuk perlindungan dasar komputer Windows).
Sepotong daftar dengan kebijakan keamanan dasar untuk Windows 10 v1809 dan perubahan pada tahun 1903, di mana kebijakan kedaluwarsa kata sandi terkait tidak lagi berlaku. Omong-omong, di versi baru, akun administrator dan tamu juga dibatalkan secara default
Microsoft dengan terkenal menjelaskan dalam sebuah posting blog mengapa mereka mengabaikan aturan wajib perubahan kata sandi: “Kedaluwarsa kata sandi secara berkala hanya melindungi dari kemungkinan bahwa kata sandi (atau hash) akan dicuri selama masa pakainya dan digunakan oleh orang yang tidak berwenang. Jika kata sandi tidak dicuri, tidak ada gunanya mengubahnya. Dan jika Anda memiliki bukti bahwa kata sandi telah dicuri, Anda tentu ingin segera bertindak daripada menunggu hingga masa berlakunya habis untuk memperbaiki masalah."
Microsoft selanjutnya menjelaskan bahwa dalam lingkungan saat ini tidak tepat untuk melindungi terhadap pencurian kata sandi menggunakan metode ini: “Jika diketahui bahwa kata sandi kemungkinan besar akan dicuri, berapa hari jangka waktu yang dapat diterima untuk mengizinkan pencuri melakukannya? menggunakan kata sandi yang dicuri itu? Nilai defaultnya adalah 42 hari. Bukankah itu terasa sangat lama? Memang benar, ini adalah waktu yang sangat lama, namun baseline kami saat ini ditetapkan pada 60 hari - dan sebelumnya pada 90 hari - karena memaksakan kedaluwarsa akan menimbulkan masalah tersendiri. Dan jika kata sandinya belum tentu dicuri, maka Anda mendapatkan masalah ini tanpa manfaat apa pun. Selain itu, jika pengguna Anda ingin menukar kata sandi dengan permen, tidak ada kebijakan kedaluwarsa kata sandi yang akan membantu.”
Альтернатива
Microsoft menulis bahwa kebijakan keamanan dasarnya dimaksudkan untuk digunakan oleh bisnis yang dikelola dengan baik dan sadar akan keamanan. Mereka juga dimaksudkan untuk memberikan panduan kepada auditor. Jika organisasi tersebut telah menerapkan daftar kata sandi yang dilarang, autentikasi multifaktor, deteksi serangan brute force kata sandi, dan deteksi upaya login yang tidak wajar, apakah masa berlaku kata sandi secara berkala diperlukan? Dan jika mereka belum menerapkan langkah-langkah keamanan modern, apakah masa berlaku kata sandi akan membantu mereka?
Logika Microsoft ternyata sangat meyakinkan. Kami memiliki dua opsi:
- Perusahaan telah menerapkan langkah-langkah keamanan modern.
- perusahaan tidak telah memperkenalkan langkah-langkah keamanan modern.
Dalam kasus pertama, mengubah kata sandi secara berkala tidak memberikan manfaat tambahan.
Dalam kasus kedua, mengubah kata sandi secara berkala tidak ada gunanya.
Jadi, alih-alih tanggal kedaluwarsa kata sandi, pertama-tama Anda harus menggunakan otentikasi multi-faktor. Langkah-langkah keamanan tambahan tercantum di atas: daftar kata sandi yang dilarang, deteksi kekerasan, dan upaya masuk yang tidak wajar lainnya.
«Kedaluwarsa kata sandi secara berkala adalah tindakan keamanan yang kuno dan ketinggalan jaman", Microsoft menyimpulkan, "dan kami tidak yakin ada nilai spesifik apa pun yang layak diterapkan pada tingkat perlindungan dasar kami. Dengan menghapusnya dari data dasar kami, organisasi dapat memilih apa yang paling sesuai dengan kebutuhan mereka tanpa bertentangan dengan rekomendasi kami.”
Keluaran
Jika sebuah perusahaan saat ini memaksa pengguna untuk mengubah kata sandi mereka secara berkala, apa yang mungkin dipikirkan oleh pengamat luar?
- Diberikan: perusahaan menggunakan mekanisme pertahanan kuno.
- Anggapan: perusahaan belum menerapkan mekanisme perlindungan modern.
- Kesimpulan: kata sandi ini lebih mudah diperoleh dan digunakan.
Ternyata mengubah kata sandi secara berkala membuat perusahaan menjadi target serangan yang lebih menarik.
Sumber: www.habr.com