ಅನೇಕ ಐಟಿ ವ್ಯವಸ್ಥೆಗಳು ನಿಯತಕಾಲಿಕವಾಗಿ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಬದಲಾಯಿಸುವ ಕಡ್ಡಾಯ ನಿಯಮವನ್ನು ಹೊಂದಿವೆ. ಇದು ಬಹುಶಃ ಭದ್ರತಾ ವ್ಯವಸ್ಥೆಗಳ ಅತ್ಯಂತ ದ್ವೇಷಿಸುವ ಮತ್ತು ಹೆಚ್ಚು ಅನುಪಯುಕ್ತ ಅವಶ್ಯಕತೆಯಾಗಿದೆ. ಕೆಲವು ಬಳಕೆದಾರರು ಲೈಫ್ ಹ್ಯಾಕ್ ಆಗಿ ಕೊನೆಯಲ್ಲಿ ಸಂಖ್ಯೆಯನ್ನು ಬದಲಾಯಿಸುತ್ತಾರೆ.
ಈ ಅಭ್ಯಾಸವು ಬಹಳಷ್ಟು ಅನಾನುಕೂಲತೆಯನ್ನು ಉಂಟುಮಾಡಿತು. ಆದಾಗ್ಯೂ, ಜನರು ಸಹಿಸಿಕೊಳ್ಳಬೇಕಾಗಿತ್ತು, ಏಕೆಂದರೆ ಇದು ಸುರಕ್ಷತೆಯ ಸಲುವಾಗಿ. ಈಗ ಈ ಸಲಹೆಯು ಸಂಪೂರ್ಣವಾಗಿ ಅಪ್ರಸ್ತುತವಾಗಿದೆ. ಮೇ 2019 ರಲ್ಲಿ, Microsoft ಸಹ ಅಂತಿಮವಾಗಿ Windows 10 ನ ವೈಯಕ್ತಿಕ ಮತ್ತು ಸರ್ವರ್ ಆವೃತ್ತಿಗಳಿಗೆ ಮೂಲಭೂತ ಮಟ್ಟದ ಭದ್ರತಾ ಅವಶ್ಯಕತೆಗಳಿಂದ ಆವರ್ತಕ ಪಾಸ್ವರ್ಡ್ ಬದಲಾವಣೆಗಳ ಅಗತ್ಯವನ್ನು ತೆಗೆದುಹಾಕಿದೆ: ಇಲ್ಲಿ ವಿಂಡೋಸ್ 10 v 1903 ಆವೃತ್ತಿಗೆ ಬದಲಾವಣೆಗಳ ಪಟ್ಟಿಯೊಂದಿಗೆ (ಪದಗುಚ್ಛವನ್ನು ಗಮನಿಸಿ ಆವರ್ತಕ ಪಾಸ್ವರ್ಡ್ ಬದಲಾವಣೆಗಳ ಅಗತ್ಯವಿರುವ ಪಾಸ್ವರ್ಡ್-ಮುಕ್ತಾಯ ನೀತಿಗಳನ್ನು ಕೈಬಿಡಲಾಗುತ್ತಿದೆ) ನಿಯಮಗಳು ಮತ್ತು ಸಿಸ್ಟಮ್ ನೀತಿಗಳು Windows 10 ಆವೃತ್ತಿ 1903 ಮತ್ತು ವಿಂಡೋಸ್ ಸರ್ವರ್ 2019 ಸೆಕ್ಯುರಿಟಿ ಬೇಸ್ಲೈನ್ ಕಿಟ್ನಲ್ಲಿ ಸೇರಿಸಲಾಗಿದೆ .
ನೀವು ಈ ದಾಖಲೆಗಳನ್ನು ನಿಮ್ಮ ಮೇಲಧಿಕಾರಿಗಳಿಗೆ ತೋರಿಸಬಹುದು ಮತ್ತು ಹೀಗೆ ಹೇಳಬಹುದು: ಸಮಯ ಬದಲಾಗಿದೆ. ಕಡ್ಡಾಯ ಪಾಸ್ವರ್ಡ್ ಬದಲಾವಣೆಗಳು ಪುರಾತನವಾಗಿವೆ, ಈಗ ಬಹುತೇಕ ಅಧಿಕೃತವಾಗಿದೆ. ಭದ್ರತಾ ಲೆಕ್ಕಪರಿಶೋಧನೆಯು ಈ ಅಗತ್ಯವನ್ನು ಇನ್ನು ಮುಂದೆ ಪರಿಶೀಲಿಸುವುದಿಲ್ಲ (ಇದು ವಿಂಡೋಸ್ ಕಂಪ್ಯೂಟರ್ಗಳ ಮೂಲ ರಕ್ಷಣೆಗಾಗಿ ಅಧಿಕೃತ ನಿಯಮಗಳನ್ನು ಆಧರಿಸಿದ್ದರೆ).
Windows 10 v1809 ಗಾಗಿ ಮೂಲಭೂತ ಭದ್ರತಾ ನೀತಿಗಳೊಂದಿಗೆ ಪಟ್ಟಿಯ ಒಂದು ತುಣುಕು ಮತ್ತು 1903 ರಲ್ಲಿ ಬದಲಾವಣೆಗಳು, ಅನುಗುಣವಾದ ಪಾಸ್ವರ್ಡ್ ಮುಕ್ತಾಯ ನೀತಿಗಳು ಇನ್ನು ಮುಂದೆ ಅನ್ವಯಿಸುವುದಿಲ್ಲ. ಮೂಲಕ, ಹೊಸ ಆವೃತ್ತಿಯಲ್ಲಿ, ನಿರ್ವಾಹಕರು ಮತ್ತು ಅತಿಥಿ ಖಾತೆಗಳನ್ನು ಸಹ ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ರದ್ದುಗೊಳಿಸಲಾಗುತ್ತದೆ
ಕಡ್ಡಾಯ ಪಾಸ್ವರ್ಡ್ ಬದಲಾವಣೆಯ ನಿಯಮವನ್ನು ಏಕೆ ಕೈಬಿಟ್ಟಿದೆ ಎಂಬುದನ್ನು ಮೈಕ್ರೋಸಾಫ್ಟ್ ಬ್ಲಾಗ್ ಪೋಸ್ಟ್ನಲ್ಲಿ ಪ್ರಸಿದ್ಧವಾಗಿ ವಿವರಿಸುತ್ತದೆ: “ನಿಯತಕಾಲಿಕ ಪಾಸ್ವರ್ಡ್ ಮುಕ್ತಾಯವು ಪಾಸ್ವರ್ಡ್ (ಅಥವಾ ಹ್ಯಾಶ್) ತನ್ನ ಜೀವಿತಾವಧಿಯಲ್ಲಿ ಕದಿಯಲ್ಪಡುವ ಮತ್ತು ಅನಧಿಕೃತ ವ್ಯಕ್ತಿಯಿಂದ ಬಳಸುವ ಸಾಧ್ಯತೆಯ ವಿರುದ್ಧ ಮಾತ್ರ ರಕ್ಷಿಸುತ್ತದೆ. ಪಾಸ್ವರ್ಡ್ ಕದಿಯದಿದ್ದರೆ, ಅದನ್ನು ಬದಲಾಯಿಸುವುದರಲ್ಲಿ ಯಾವುದೇ ಅರ್ಥವಿಲ್ಲ. ಮತ್ತು ಪಾಸ್ವರ್ಡ್ ಕದ್ದಿದೆ ಎಂಬುದಕ್ಕೆ ನೀವು ಪುರಾವೆಗಳನ್ನು ಹೊಂದಿದ್ದರೆ, ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಲು ಅದರ ಅವಧಿ ಮುಗಿಯುವವರೆಗೆ ಕಾಯುವ ಬದಲು ನೀವು ತಕ್ಷಣವೇ ಕಾರ್ಯನಿರ್ವಹಿಸಲು ಬಯಸುತ್ತೀರಿ."
ಇಂದಿನ ಪರಿಸರದಲ್ಲಿ ಈ ವಿಧಾನವನ್ನು ಬಳಸಿಕೊಂಡು ಪಾಸ್ವರ್ಡ್ ಕಳ್ಳತನದಿಂದ ರಕ್ಷಿಸುವುದು ಸೂಕ್ತವಲ್ಲ ಎಂದು ಮೈಕ್ರೋಸಾಫ್ಟ್ ವಿವರಿಸುತ್ತದೆ: “ಪಾಸ್ವರ್ಡ್ ಕಳ್ಳತನವಾಗುವ ಸಾಧ್ಯತೆಯಿದೆ ಎಂದು ತಿಳಿದಿದ್ದರೆ, ಕಳ್ಳನಿಗೆ ಅನುಮತಿಸಲು ಎಷ್ಟು ದಿನಗಳು ಸ್ವೀಕಾರಾರ್ಹ ಅವಧಿಯಾಗಿದೆ ಆ ಕದ್ದ ಪಾಸ್ವರ್ಡ್ ಬಳಸುವುದೇ? ಡೀಫಾಲ್ಟ್ ಮೌಲ್ಯವು 42 ದಿನಗಳು. ಇದು ಹಾಸ್ಯಾಸ್ಪದವಾಗಿ ದೀರ್ಘ ಸಮಯದಂತೆ ತೋರುತ್ತಿಲ್ಲವೇ? ವಾಸ್ತವವಾಗಿ, ಇದು ಬಹಳ ಸಮಯ, ಮತ್ತು ಇನ್ನೂ ನಮ್ಮ ಪ್ರಸ್ತುತ ಬೇಸ್ಲೈನ್ ಅನ್ನು 60 ದಿನಗಳವರೆಗೆ ಹೊಂದಿಸಲಾಗಿದೆ - ಮತ್ತು ಹಿಂದೆ 90 ದಿನಗಳು - ಏಕೆಂದರೆ ಆಗಾಗ್ಗೆ ಮುಕ್ತಾಯವನ್ನು ಒತ್ತಾಯಿಸುವುದು ತನ್ನದೇ ಆದ ಸಮಸ್ಯೆಗಳನ್ನು ಪರಿಚಯಿಸುತ್ತದೆ. ಮತ್ತು ಪಾಸ್ವರ್ಡ್ ಅಗತ್ಯವಾಗಿ ಕದಿಯದಿದ್ದರೆ, ನೀವು ಯಾವುದೇ ಪ್ರಯೋಜನವಿಲ್ಲದೆ ಈ ಸಮಸ್ಯೆಗಳನ್ನು ಪಡೆದುಕೊಳ್ಳುತ್ತಿದ್ದೀರಿ. ಇದಲ್ಲದೆ, ನಿಮ್ಮ ಬಳಕೆದಾರರು ಕ್ಯಾಂಡಿಗಾಗಿ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ವ್ಯಾಪಾರ ಮಾಡಲು ಸಿದ್ಧರಿದ್ದರೆ, ಯಾವುದೇ ಪಾಸ್ವರ್ಡ್ ಮುಕ್ತಾಯ ನೀತಿಯು ಸಹಾಯ ಮಾಡುವುದಿಲ್ಲ.
ಪರ್ಯಾಯ
ಮೈಕ್ರೋಸಾಫ್ಟ್ ತನ್ನ ಬೇಸ್ಲೈನ್ ಸುರಕ್ಷತಾ ನೀತಿಗಳನ್ನು ಉತ್ತಮವಾಗಿ ನಿರ್ವಹಿಸಿದ, ಭದ್ರತೆ-ಪ್ರಜ್ಞೆಯ ವ್ಯವಹಾರಗಳಿಂದ ಬಳಸಲು ಉದ್ದೇಶಿಸಲಾಗಿದೆ ಎಂದು ಬರೆಯುತ್ತದೆ. ಲೆಕ್ಕಪರಿಶೋಧಕರಿಗೆ ಮಾರ್ಗದರ್ಶನ ನೀಡಲು ಸಹ ಉದ್ದೇಶಿಸಲಾಗಿದೆ. ಅಂತಹ ಸಂಸ್ಥೆಯು ನಿಷೇಧಿತ ಪಾಸ್ವರ್ಡ್ ಪಟ್ಟಿಗಳು, ಬಹು-ಅಂಶ ದೃಢೀಕರಣ, ಪಾಸ್ವರ್ಡ್ ಬ್ರೂಟ್ ಫೋರ್ಸ್ ಅಟ್ಯಾಕ್ ಪತ್ತೆ ಮತ್ತು ಅಸಂಗತ ಲಾಗಿನ್ ಪ್ರಯತ್ನ ಪತ್ತೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಿದ್ದರೆ, ಆವರ್ತಕ ಪಾಸ್ವರ್ಡ್ ಮುಕ್ತಾಯ ಅಗತ್ಯವಿದೆಯೇ? ಮತ್ತು ಅವರು ಆಧುನಿಕ ಭದ್ರತಾ ಕ್ರಮಗಳನ್ನು ಅಳವಡಿಸದಿದ್ದರೆ, ಪಾಸ್ವರ್ಡ್ ಮುಕ್ತಾಯವು ಅವರಿಗೆ ಸಹಾಯ ಮಾಡುತ್ತದೆ?
ಮೈಕ್ರೋಸಾಫ್ಟ್ನ ತರ್ಕವು ಆಶ್ಚರ್ಯಕರವಾಗಿ ಮನವರಿಕೆಯಾಗಿದೆ. ನಮಗೆ ಎರಡು ಆಯ್ಕೆಗಳಿವೆ:
- ಕಂಪನಿಯು ಆಧುನಿಕ ಭದ್ರತಾ ಕ್ರಮಗಳನ್ನು ಜಾರಿಗೆ ತಂದಿದೆ.
- ಫರ್ಮ್ ಕೇವಲ ಆಧುನಿಕ ಭದ್ರತಾ ಕ್ರಮಗಳನ್ನು ಪರಿಚಯಿಸಿದೆ.
ಮೊದಲ ಸಂದರ್ಭದಲ್ಲಿ, ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ನಿಯತಕಾಲಿಕವಾಗಿ ಬದಲಾಯಿಸುವುದರಿಂದ ಹೆಚ್ಚುವರಿ ಪ್ರಯೋಜನಗಳನ್ನು ಒದಗಿಸುವುದಿಲ್ಲ.
ಎರಡನೆಯ ಸಂದರ್ಭದಲ್ಲಿ, ನಿಯತಕಾಲಿಕವಾಗಿ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಬದಲಾಯಿಸುವುದು ನಿಷ್ಪ್ರಯೋಜಕವಾಗಿದೆ.
ಹೀಗಾಗಿ, ಪಾಸ್ವರ್ಡ್ ಮುಕ್ತಾಯ ದಿನಾಂಕದ ಬದಲಿಗೆ, ನೀವು ಬಳಸಬೇಕಾಗುತ್ತದೆ, ಮೊದಲನೆಯದಾಗಿ, ಬಹು ಅಂಶದ ದೃಢೀಕರಣ. ಹೆಚ್ಚುವರಿ ಭದ್ರತಾ ಕ್ರಮಗಳನ್ನು ಮೇಲೆ ಪಟ್ಟಿ ಮಾಡಲಾಗಿದೆ: ನಿಷೇಧಿತ ಪಾಸ್ವರ್ಡ್ಗಳ ಪಟ್ಟಿಗಳು, ವಿವೇಚನಾರಹಿತ ಶಕ್ತಿಯ ಪತ್ತೆ ಮತ್ತು ಇತರ ಅಸಂಗತ ಲಾಗಿನ್ ಪ್ರಯತ್ನಗಳು.
«ಆವರ್ತಕ ಪಾಸ್ವರ್ಡ್ ಮುಕ್ತಾಯವು ಪುರಾತನ ಮತ್ತು ಹಳೆಯ ಭದ್ರತಾ ಕ್ರಮವಾಗಿದೆ", ಮೈಕ್ರೋಸಾಫ್ಟ್ ತೀರ್ಮಾನಿಸಿದೆ, "ಮತ್ತು ನಮ್ಮ ಬೇಸ್ಲೈನ್ ರಕ್ಷಣೆಯ ಮಟ್ಟಕ್ಕೆ ಅನ್ವಯಿಸಲು ಯೋಗ್ಯವಾದ ಯಾವುದೇ ನಿರ್ದಿಷ್ಟ ಮೌಲ್ಯವಿದೆ ಎಂದು ನಾವು ನಂಬುವುದಿಲ್ಲ. ನಮ್ಮ ಬೇಸ್ಲೈನ್ನಿಂದ ಅದನ್ನು ತೆಗೆದುಹಾಕುವ ಮೂಲಕ, ಸಂಸ್ಥೆಗಳು ನಮ್ಮ ಶಿಫಾರಸುಗಳೊಂದಿಗೆ ಘರ್ಷಣೆಯಿಲ್ಲದೆ ತಮ್ಮ ಗ್ರಹಿಸಿದ ಅಗತ್ಯಗಳಿಗೆ ಸೂಕ್ತವಾದದ್ದನ್ನು ಆಯ್ಕೆ ಮಾಡಬಹುದು.
ತೀರ್ಮಾನಕ್ಕೆ
ಇಂದು ಕಂಪನಿಯೊಂದು ಬಳಕೆದಾರರು ತಮ್ಮ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ನಿಯತಕಾಲಿಕವಾಗಿ ಬದಲಾಯಿಸುವಂತೆ ಒತ್ತಾಯಿಸಿದರೆ, ಹೊರಗಿನ ವೀಕ್ಷಕರು ಏನು ಯೋಚಿಸಬಹುದು?
- ನೀಡಿದ: ಕಂಪನಿಯು ಪುರಾತನ ರಕ್ಷಣಾ ಕಾರ್ಯವಿಧಾನವನ್ನು ಬಳಸುತ್ತದೆ.
- ಊಹೆ: ಕಂಪನಿಯು ಆಧುನಿಕ ರಕ್ಷಣಾ ಕಾರ್ಯವಿಧಾನಗಳನ್ನು ಅಳವಡಿಸಿಲ್ಲ.
- ತೀರ್ಮಾನ: ಈ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಪಡೆಯಲು ಮತ್ತು ಬಳಸಲು ಸುಲಭವಾಗಿದೆ.
ನಿಯತಕಾಲಿಕವಾಗಿ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಬದಲಾಯಿಸುವುದು ಕಂಪನಿಯನ್ನು ದಾಳಿಗೆ ಹೆಚ್ಚು ಆಕರ್ಷಕ ಗುರಿಯನ್ನಾಗಿ ಮಾಡುತ್ತದೆ ಎಂದು ಅದು ತಿರುಗುತ್ತದೆ.
ಮೂಲ: www.habr.com