Mörg upplýsingatæknikerfi hafa lögboðna reglu um að skipta reglulega um lykilorð. Þetta er kannski hataðasta og gagnslausasta krafan um öryggiskerfi. Sumir notendur breyta einfaldlega númerinu í lokin sem lífshakk.

Þessi framkvæmd olli miklum óþægindum. Hins vegar urðu menn að þola, því þetta til öryggis. Nú er þetta ráð algjörlega óviðkomandi. Í maí 2019 fjarlægði meira að segja Microsoft loksins kröfuna um reglubundnar breytingar á lykilorði frá grunnstigi öryggiskröfur fyrir persónulegar útgáfur og netþjónaútgáfur af Windows 10: hér opinber bloggyfirlýsing með lista yfir breytingar á útgáfu Windows 10 v 1903 (athugið setninguna Sleppa reglum um gildistíma lykilorðs sem krefjast reglubundinna breytinga á lykilorði). Reglurnar sjálfar og kerfisstefnur Windows 10 útgáfa 1903 og Windows Server 2019 öryggisgrunnlína fylgir með í settinu Microsoft Security Compliance Toolkit 1.0.

Þú getur sýnt þessi skjöl yfirmönnum þínum og sagt: tímarnir hafa breyst. Lögboðnar breytingar á lykilorði eru fornaldarlegar, nú nánast opinberar. Jafnvel öryggisúttekt mun ekki lengur athuga þessa kröfu (ef hún er byggð á opinberum reglum um grunnvernd Windows tölvur).


Brot af lista með helstu öryggisreglum fyrir Windows 10 v1809 og breytingar í 1903, þar sem samsvarandi reglur um útrunnun lykilorðs eiga ekki lengur við. Við the vegur, í nýju útgáfunni, er stjórnanda- og gestareikningum líka sjálfgefið lokað

Frægt er að Microsoft útskýrir í bloggfærslu hvers vegna það yfirgaf lögboðna lykilorðsbreytingarregluna: „Tímabundið gildistími lykilorðs verndar aðeins gegn því að lykilorðinu (eða hassinu) verði stolið á líftíma þess og notað af óviðkomandi aðila. Ef lykilorðinu er ekki stolið þýðir ekkert að breyta því. Og ef þú hefur sannanir fyrir því að lykilorði hafi verið stolið, þá viltu augljóslega bregðast við strax frekar en að bíða þangað til það rennur út til að laga vandamálið.“

Microsoft heldur áfram að útskýra að í umhverfi nútímans sé ekki við hæfi að vernda gegn lykilorðsþjófnaði með þessari aðferð: „Ef það er vitað að líklegt er að lykilorði verði stolið, hversu margir dagar er ásættanlegt tímabil til að leyfa þjófi að nota þetta stolna lykilorð? Sjálfgefið gildi er 42 dagar. Finnst þetta ekki fáránlega langur tími? Reyndar er þetta mjög langur tími og samt sem áður var núverandi grunnlína okkar sett á 60 dagar - og áður 90 dagar - vegna þess að það að þvinga fram tíðar fyrningar leiðir til eigin vandamála. Og ef lykilorðinu er ekki endilega stolið, þá ertu að eignast þessi vandamál án ávinnings. Að auki, ef notendur þínir eru tilbúnir að skipta út lykilorði fyrir sælgæti, mun engin stefna um gildistíma lykilorðs hjálpa.

Val

Microsoft skrifar að grunnlínuöryggisstefnur þess séu ætlaðar til notkunar fyrir vel stýrð, öryggismeðvituð fyrirtæki. Þeim er einnig ætlað að veita endurskoðendum leiðbeiningar. Ef slík stofnun hefur innleitt bannaða lykilorðalista, fjölþætta auðkenningu, uppgötvun árásarárása með lykilorði og afbrigðilegar innskráningartilraunir, þarf þá að renna út reglubundið lykilorð? Og ef þeir hafa ekki innleitt nútíma öryggisráðstafanir, mun það þá hjálpa þeim að renna út lykilorð?

Rökfræði Microsoft er furðu sannfærandi. Við höfum tvo valkosti:

1. Fyrirtækið hefur innleitt nútíma öryggisráðstafanir.
2. Félagið ekki hefur kynnt nútíma öryggisráðstafanir.

Í fyrra tilvikinu veitir það ekki frekari ávinning að skipta um lykilorð reglulega.

Í öðru tilvikinu er gagnslaust að breyta lykilorðinu reglulega.

Svona, í stað þess að lykilorðið gildir, þarftu fyrst og fremst að nota, fjölþátta auðkenning. Viðbótaröryggisráðstafanir eru taldar upp hér að ofan: listar yfir bönnuð lykilorð, uppgötvun á ofbeldi og aðrar óvenjulegar innskráningartilraunir.

«Reglubundin útrunnun lykilorða er forn og úrelt öryggisráðstöfun", segir Microsoft að lokum, "og við teljum ekki að það sé neitt sérstakt gildi þess virði að nota á grunnlínuverndarstig okkar. Með því að fjarlægja það úr grunnlínu okkar geta stofnanir valið það sem best hentar þörfum þeirra án þess að stangast á við ráðleggingar okkar.

Output

Ef fyrirtæki í dag neyðir notendur til að breyta lykilorðum sínum reglulega, hvað gæti utanaðkomandi áhorfanda hugsað?

1. Gefið: fyrirtækið notar forneskjulegt varnarkerfi.
2. Forsenda: fyrirtækið hefur ekki innleitt nútíma verndaraðferðir.
3. Ályktun: Auðveldara er að nálgast og nota þessi lykilorð.

Það kemur í ljós að það að skipta um lykilorð reglulega gerir fyrirtæki að aðlaðandi skotmarki fyrir árásir.

Heimild: www.habr.com