Көптөгөн IT системаларында паролдорду мезгил-мезгили менен алмаштыруунун милдеттүү эрежеси бар. Бул, балким, коопсуздук системаларынын эң жек көргөн жана эң пайдасыз талабы. Кээ бир колдонуучулар жөн гана лайфхак катары аягында номерди өзгөртүшөт.

Бул практика бир топ ыңгайсыздыктарды жаратты. Бирок, адамдар чыдаш керек болчу, анткени бул коопсуздук үчүн. Эми бул кеңеш такыр тиешеси жок. 2019-жылдын май айында Microsoft да Windows 10дун жеке жана сервердик версиялары үчүн коопсуздук талаптарынын негизги деңгээлинен сырсөздү мезгил-мезгили менен өзгөртүү талабын алып салды: бул жерде расмий блог билдирүүсү Windows 10 v 1903 версиясына өзгөртүүлөрдүн тизмеси менен (сөз айкашына көңүл буруңуз Сырсөздү мезгил-мезгили менен өзгөртүүнү талап кылган сырсөздүн жарактуулук саясаттарын жокко чыгаруу). Эрежелердин өзү жана система саясаты Windows 10 версиясы 1903 жана Windows Server 2019 коопсуздуктун базасы комплектке киргизилген Microsoft Security Compliance Toolkit 1.0.

Сиз бул документтерди өзүңүздүн жетекчилериңизге көрсөтүп: заман өзгөрдү. Паролду милдеттүү түрдө өзгөртүү архаикалык, азыр дээрлик расмий. Жада калса коопсуздук аудити дагы бул талапты текшербейт (эгерде ал Windows компьютерлерин негизги коргоонун расмий эрежелерине негизделсе).


Windows 10 v1809 үчүн негизги коопсуздук саясаттары жана 1903-жылдагы өзгөрүүлөрү бар тизменин фрагменти, мында тиешелүү сырсөздүн мөөнөтүн бүтүрүү саясаты колдонулбайт. Айтмакчы, жаңы версияда администратор жана конок эсептери демейки боюнча жокко чыгарылат

Майкрософт блог постунда сырсөздү милдеттүү түрдө өзгөртүү эрежесинен эмне үчүн баш тартканын атактуу түшүндүрөт: “Паролдун мөөнөтү мезгил-мезгили менен бүтүшү сырсөздүн (же хэштин) өмүр бою уурдалып, уруксаты жок адам тарабынан колдонулушу мүмкүндүгүнөн гана коргойт. Эгер сырсөз уурдалбаса, аны өзгөртүүнүн кереги жок. Эгер сизде сырсөз уурдалганына далилдер болсо, көйгөйдү чечүү үчүн анын мөөнөтү бүткүчө күтпөй, дароо иш-аракет кылгыңыз келет."

Microsoft азыркы шартта бул ыкманы колдонуу менен паролду уурдоодон коргоо туура эмес экенин түшүндүрөт: “Эгер сырсөз уурдалышы мүмкүн экендиги белгилүү болсо, ууруга канча күн уруксат берүү үчүн алгылыктуу убакыт уурдалган сырсөздү колдоносузбу? Демейки маани - 42 күн. Бул күлкүлүү көп убакыт сыяктуу көрүнбөйбү? Чынында эле, бул абдан узак убакыт, бирок биздин азыркы базалык көрсөткүчүбүз 60 күнгө, ал эми мурда 90 күнгө белгиленген болчу, анткени тез-тез мөөнөтүн узартуу өзүнүн көйгөйлөрүн жаратат. Ал эми сырсөз сөзсүз түрдө уурдалбаса, анда сиз бул көйгөйлөрдү эч кандай пайдасыз алып жатасыз. Мындан тышкары, эгер сиздин колдонуучулар сырсөздү момпосуйга алмаштырууну кааласа, эч кандай сырсөздүн мөөнөтү аяктаган саясат жардам бербейт.

альтернатива

Майкрософт анын негизги коопсуздук саясаттары жакшы башкарылган, коопсуздукту түшүнгөн ишканалар тарабынан колдонууга арналган деп жазат. Алар ошондой эле аудиторлорго көрсөтмөлөрдү берүү үчүн арналган. Эгер мындай уюм тыюу салынган сырсөз тизмелерин, көп факторлуу аутентификацияны, сырсөз менен катаал чабуулду аныктоону жана аномалдуу кирүү аракетин аныктоону ишке ашырса, парольдун мөөнөтү мезгил-мезгили менен бүтүшү керекпи? Эгер алар заманбап коопсуздук чараларын көрүшпөсө, сырсөздүн мөөнөтү аларга жардам береби?

Майкрософттун логикасы таң калыштуу ынандырарлык. Бизде эки вариант бар:

1. Компания заманбап коопсуздук чараларын ишке ашырган.
2. компания жок заманбап коопсуздук чараларын киргизди.

Биринчи учурда, паролду мезгил-мезгили менен өзгөртүү кошумча пайда бербейт.

Экинчи учурда, паролду мезгил-мезгили менен өзгөртүү пайдасыз.

Ошентип, парольдун жарактуулук мөөнөтүн колдонуунун ордуна, биринчи кезекте, көп факторлуу аутентификация. Кошумча коопсуздук чаралары жогоруда келтирилген: тыюу салынган сырсөздөрдүн тизмеси, катаал күчтү аныктоо жана башка аномалдуу кирүү аракеттери.

«Мезгил-мезгили менен сырсөз мөөнөтү эски жана эскирген коопсуздук чарасы болуп саналат", деп жыйынтыктайт Microsoft, "жана биз базалык коргоо деңгээлибизге колдонууга арзырлык кандайдыр бир өзгөчө маани бар деп ишенбейбиз. Аны биздин базадан алып салуу менен, уюмдар биздин сунуштарыбызга карама-каршы келбестен, алардын муктаждыктарына эң туура келгенин тандай алышат.

жыйынтыктоо

Бүгүнкү күндө компания колдонуучуларды паролдорун мезгил-мезгили менен өзгөртүүгө мажбурласа, сырттан байкоочу эмне деп ойлошу мүмкүн?

1. Берилген: компания архаикалык коргонуу механизмин колдонот.
2. Болжолдоо: ишканада заманбап коргоо механизмдери ишке киргизилген эмес.
3. корутундусу: бул сырсөздөрдү алуу жана колдонуу оңой.

Сырсөздөрдү мезгил-мезгили менен өзгөртүү компанияны чабуулдар үчүн жагымдуураак бутага айлантат экен.

Source: www.habr.com