Molti sistemi IT hanno una regola obbligatoria che prevede la modifica periodica delle password. Questo è forse il requisito più odiato e più inutile dei sistemi di sicurezza. Alcuni utenti cambiano semplicemente il numero alla fine come trucchetto.

Questa pratica ha causato molti disagi. Tuttavia, le persone hanno dovuto sopportare questo per motivi di sicurezza. Ora questo consiglio è del tutto irrilevante. Nel maggio 2019 anche Microsoft ha finalmente rimosso l'obbligo di modifica periodica della password dal livello base dei requisiti di sicurezza per le versioni personal e server di Windows 10: qui dichiarazione ufficiale del blog con un elenco delle modifiche alla versione Windows 10 v 1903 (notare la frase Eliminazione dei criteri di scadenza della password che richiedono modifiche periodiche della password). Le regole stesse e le politiche di sistema Base di sicurezza per Windows 10 versione 1903 e Windows Server 2019 incluso nel kit Kit di strumenti per la conformità alla sicurezza Microsoft 1.0.

Puoi mostrare questi documenti ai tuoi superiori e dire: i tempi sono cambiati. Le modifiche obbligatorie della password sono arcaiche, ormai quasi ufficiali. Anche un controllo di sicurezza non verificherà più questo requisito (se si basa sulle regole ufficiali per la protezione di base dei computer Windows).


Un frammento di un elenco con policy di sicurezza di base per Windows 10 v1809 e modifiche in 1903, in cui le policy di scadenza della password corrispondenti non si applicano più. A proposito, nella nuova versione, anche gli account amministratore e ospite vengono cancellati per impostazione predefinita

Microsoft spiega in un post sul blog perché ha abbandonato la regola di modifica obbligatoria della password: "La scadenza periodica della password protegge solo dalla possibilità che la password (o l'hash) venga rubata durante la sua vita e utilizzata da una persona non autorizzata. Se la password non viene rubata, non ha senso cambiarla. E se hai la prova che una password è stata rubata, ovviamente vorrai agire immediatamente invece di aspettare fino alla scadenza per risolvere il problema."

Microsoft prosegue spiegando che nell'ambiente odierno non è appropriato proteggersi dal furto di password utilizzando questo metodo: “Se è noto che una password potrebbe essere rubata, quanti giorni è un periodo di tempo accettabile per consentire a un ladro di accedervi? usare quella password rubata? Il valore predefinito è 42 giorni. Non ti sembra un tempo ridicolmente lungo? In effetti, si tratta di un tempo molto lungo, eppure il nostro attuale riferimento è stato fissato a 60 giorni - e in precedenza a 90 giorni - perché forzare scadenze frequenti introduce i suoi problemi. E se la password non viene necessariamente rubata, questi problemi vengono acquisiti senza alcun vantaggio. Inoltre, se i tuoi utenti sono disposti a scambiare una password con caramelle, nessuna politica di scadenza della password sarà di aiuto."

Альтернатива

Microsoft scrive che le sue policy di sicurezza di base sono destinate all'utilizzo da parte di aziende ben gestite e attente alla sicurezza. Hanno inoltre lo scopo di fornire indicazioni ai revisori. Se un'organizzazione di questo tipo ha implementato elenchi di password vietate, autenticazione a più fattori, rilevamento di attacchi di forza bruta delle password e rilevamento di tentativi di accesso anomali, è richiesta la scadenza periodica della password? E se non hanno implementato misure di sicurezza moderne, la scadenza della password li aiuterà?

La logica di Microsoft è sorprendentemente convincente. Abbiamo due opzioni:

1. L'azienda ha implementato moderne misure di sicurezza.
2. società no ha introdotto moderne misure di sicurezza.

Nel primo caso, la modifica periodica della password non fornisce ulteriori vantaggi.

Nel secondo caso cambiare periodicamente la password è inutile.

Pertanto, al posto della data di scadenza della password, è necessario utilizzare innanzitutto autenticazione a più fattori. Ulteriori misure di sicurezza sono elencate sopra: elenchi di password vietate, rilevamento di forza bruta e altri tentativi di accesso anomali.

«La scadenza periodica della password è una misura di sicurezza antica e obsoleta", conclude Microsoft, "e non crediamo che ci sia alcun valore specifico che valga la pena applicare al nostro livello di protezione di base. Rimuovendolo dalla nostra linea di base, le organizzazioni possono scegliere ciò che meglio si adatta alle loro esigenze percepite senza entrare in conflitto con le nostre raccomandazioni”.

conclusione

Se oggi un’azienda obbligasse gli utenti a cambiare periodicamente la propria password, cosa potrebbe pensare un osservatore esterno?

1. data: l'azienda utilizza un meccanismo di difesa arcaico.
2. Assunzione: l'azienda non ha implementato moderni meccanismi di protezione.
3. Conclusione: queste password sono più facili da ottenere e utilizzare.

Si scopre che la modifica periodica delle password rende un'azienda un bersaglio più attraente per gli attacchi.

Fonte: habr.com