多くの IT システムには、パスワードを定期的に変更するという必須のルールがあります。 これはおそらく、セキュリティ システムにとって最も嫌われ、最も役に立たない要件です。 ライフハックとして最後の数字を変更するだけのユーザーもいます。
この慣行により多くの不都合が生じました。 しかし、人々は耐えなければなりませんでした。 安全のため。 さて、このアドバイスはまったく意味がありません。 2019 年 10 月、Microsoft でさえ、Windows XNUMX の個人バージョンおよびサーバー バージョンの基本レベルのセキュリティ要件から定期的なパスワード変更の要件をついに削除しました。こちら
これらの文書を上司に見せて、「時代は変わった」と言うことができます。 必須のパスワード変更は時代遅れですが、現在はほぼ公式のものです。 セキュリティ監査でも、この要件はチェックされなくなります (Windows コンピューターの基本的な保護に関する公式ルールに基づいている場合)。
Windows 10 v1809 および 1903 での変更点の基本的なセキュリティ ポリシーを記載したリストの一部。対応するパスワード有効期限ポリシーは適用されなくなりました。 ちなみに新バージョンでは管理者アカウントとゲストアカウントもデフォルトで解除されています
Microsoft が、必須のパスワード変更ルールを放棄した理由をブログ投稿で次のように説明しているのは有名です。「定期的なパスワードの有効期限は、パスワード (またはハッシュ) が存続期間中に盗まれ、権限のない者によって使用される可能性を防ぐだけです。 パスワードが盗まれていない場合は、変更しても意味がありません。 また、パスワードが盗まれたという証拠がある場合は、期限切れになるまで問題を解決するのを待つのではなく、すぐに行動を起こしたくなるのは明らかです。」
Microsoft は続けて、今日の環境では、この方法を使用してパスワードの盗難を防ぐのは適切ではないと説明しています。盗まれたパスワードを使用しますか? デフォルト値は 42 日です。 それは途方もなく長い時間のように思えませんか? 確かに、これは非常に長い期間ですが、頻繁に有効期限を強制すると問題が発生するため、現在のベースラインは 60 日に設定されており、以前は 90 日に設定されていました。 また、パスワードが必ずしも盗まれているわけではない場合、これらの問題は無駄に発生することになります。 さらに、ユーザーがパスワードをお菓子と交換する気があるのであれば、パスワードの有効期限ポリシーは役に立ちません。」
Альтернатива
Microsoft は、同社のベースライン セキュリティ ポリシーは、適切に管理され、セキュリティを重視する企業による使用を目的としていると書いています。 これらは監査人に指針を提供することも目的としています。 このような組織が禁止パスワード リスト、多要素認証、パスワード ブルート フォース攻撃検出、異常なログイン試行検出を実装している場合、定期的なパスワードの有効期限は必要ですか? また、最新のセキュリティ対策を導入していない場合、パスワードの有効期限は役立つのでしょうか?
Microsoft のロジックは驚くほど説得力があります。 選択肢は XNUMX つあります。
- 同社は最新のセキュリティ対策を導入しています。
- 会社 ノー 最新のセキュリティ対策を導入しています。
前者の場合、パスワードを定期的に変更しても追加の利点は得られません。
XNUMX 番目のケースでは、パスワードを定期的に変更しても意味がありません。
したがって、パスワードの有効期限の代わりに、まず、以下を使用する必要があります。 多要素認証。 追加のセキュリティ対策は上記にリストされています: 禁止されたパスワードのリスト、ブルート フォースやその他の異常なログイン試行の検出。
«定期的なパスワードの有効期限は古くからある時代遅れのセキュリティ対策ですMicrosoft は結論として、「ベースライン保護レベルに適用する価値のある特定の値は存在しないと考えています。 これをベースラインから削除することで、組織は私たちの推奨事項と矛盾することなく、認識されたニーズに最も適したものを選択できるようになります。」
出力
今日、企業がユーザーにパスワードの定期的な変更を強制した場合、外部の観察者はどう思うでしょうか?
- 月: 同社は時代遅れの防御メカニズムを使用しています。
- 予測: 同社は最新の保護メカニズムを実装していません。
- 結論: これらのパスワードは取得して使用するのが簡単です。
パスワードを定期的に変更すると、企業が攻撃の対象となりやすくなることがわかりました。
出所: habr.com