Molti sistemi IT hanno una regola obbligatoria che prevede la modifica periodica delle password. Questo è forse il requisito più odiato e più inutile dei sistemi di sicurezza. Alcuni utenti cambiano semplicemente il numero alla fine come trucchetto.

Questa pratica ha causato molti disagi. Tuttavia, le persone hanno dovuto sopportare questo per motivi di sicurezzaQuesto consiglio è ormai completamente irrilevante. Nel maggio 2019, persino Microsoft ha finalmente rimosso l'obbligo di cambiare periodicamente le password dai requisiti di sicurezza di base per le versioni personali e server. Windows 10: Qui dichiarazione ufficiale del blog con un elenco delle modifiche alla versione Windows 10 nel 1903 (si noti la frase Eliminazione dei criteri di scadenza della password che richiedono modifiche periodiche della password). Le regole stesse e le politiche di sistema Windows 10 Versione 1903 e Windows Server Standard di sicurezza 2019 incluso nel kit Kit di strumenti per la conformità alla sicurezza Microsoft 1.0.

Puoi mostrare questi documenti al tuo capo e dire: i tempi sono cambiati. Il cambio obbligatorio della password è arcaico, praticamente ufficiale ormai. Persino un audit di sicurezza non verificherà più questo requisito (se basato su norme ufficiali di base per la sicurezza informatica). Windows).


Un frammento di un elenco con le politiche di sicurezza di base Windows 10 v1809 e le modifiche introdotte nella versione 1903, dove le corrispondenti politiche di scadenza delle password non vengono più applicate. Tra l'altro, la nuova versione disabilita per impostazione predefinita anche gli account amministratore e guest.

Microsoft spiega in un post sul blog perché ha abbandonato la regola di modifica obbligatoria della password: "La scadenza periodica della password protegge solo dalla possibilità che la password (o l'hash) venga rubata durante la sua vita e utilizzata da una persona non autorizzata. Se la password non viene rubata, non ha senso cambiarla. E se hai la prova che una password è stata rubata, ovviamente vorrai agire immediatamente invece di aspettare fino alla scadenza per risolvere il problema."

Microsoft prosegue spiegando che nell'ambiente odierno non è appropriato proteggersi dal furto di password utilizzando questo metodo: “Se è noto che una password potrebbe essere rubata, quanti giorni è un periodo di tempo accettabile per consentire a un ladro di accedervi? usare quella password rubata? Il valore predefinito è 42 giorni. Non ti sembra un tempo ridicolmente lungo? In effetti, si tratta di un tempo molto lungo, eppure il nostro attuale riferimento è stato fissato a 60 giorni - e in precedenza a 90 giorni - perché forzare scadenze frequenti introduce i suoi problemi. E se la password non viene necessariamente rubata, questi problemi vengono acquisiti senza alcun vantaggio. Inoltre, se i tuoi utenti sono disposti a scambiare una password con caramelle, nessuna politica di scadenza della password sarà di aiuto."

Альтернатива

Microsoft scrive che le sue policy di sicurezza di base sono destinate all'utilizzo da parte di aziende ben gestite e attente alla sicurezza. Hanno inoltre lo scopo di fornire indicazioni ai revisori. Se un'organizzazione di questo tipo ha implementato elenchi di password vietate, autenticazione a più fattori, rilevamento di attacchi di forza bruta delle password e rilevamento di tentativi di accesso anomali, è richiesta la scadenza periodica della password? E se non hanno implementato misure di sicurezza moderne, la scadenza della password li aiuterà?

La logica di Microsoft è sorprendentemente convincente. Abbiamo due opzioni:

1. L'azienda ha implementato moderne misure di sicurezza.
2. società no ha introdotto moderne misure di sicurezza.

Nel primo caso, la modifica periodica della password non fornisce ulteriori vantaggi.

Nel secondo caso cambiare periodicamente la password è inutile.

Pertanto, al posto della data di scadenza della password, è necessario utilizzare innanzitutto autenticazione a più fattori. Ulteriori misure di sicurezza sono elencate sopra: elenchi di password vietate, rilevamento di forza bruta e altri tentativi di accesso anomali.

«La scadenza periodica della password è una misura di sicurezza antica e obsoleta", conclude Microsoft, "e non crediamo che ci sia alcun valore specifico che valga la pena applicare al nostro livello di protezione di base. Rimuovendolo dalla nostra linea di base, le organizzazioni possono scegliere ciò che meglio si adatta alle loro esigenze percepite senza entrare in conflitto con le nostre raccomandazioni”.

conclusione

Se oggi un’azienda obbligasse gli utenti a cambiare periodicamente la propria password, cosa potrebbe pensare un osservatore esterno?

1. data: l'azienda utilizza un meccanismo di difesa arcaico.
2. Assunzione: l'azienda non ha implementato moderni meccanismi di protezione.
3. Conclusione: queste password sono più facili da ottenere e utilizzare.

Si scopre che la modifica periodica delle password rende un'azienda un bersaglio più attraente per gli attacchi.

Fonte: habr.com