Daugelyje IT sistemų galioja privaloma periodinio slaptažodžių keitimo taisyklė. Tai turbūt labiausiai nekenčiamas ir nenaudingiausias apsaugos sistemų reikalavimas. Kai kurie vartotojai paprasčiausiai pakeičia numerį pabaigoje, nes tai yra gyvenimo įsilaužimas.

Ši praktika sukėlė daug nepatogumų. Tačiau žmonės turėjo ištverti, nes tai saugumo sumetimais. Dabar šis patarimas visiškai nesvarbus. 2019 m. gegužę net „Microsoft“ pagaliau pašalino reikalavimą periodiškai keisti slaptažodžius iš pagrindinio asmeninių ir serverio versijų „Windows 10“ saugos reikalavimų: čia oficialus tinklaraščio pareiškimas su Windows 10 v 1903 versijos pakeitimų sąrašu (atkreipkite dėmesį į frazę Slaptažodžio galiojimo pabaigos strategijų, dėl kurių reikia periodiškai keisti slaptažodį, atsisakymas). Pačios taisyklės ir sistemos politika „Windows 10“ versija 1903 ir „Windows Server 2019“ saugos bazė įtraukta į komplektą Microsoft Security Compliance Toolkit 1.0.

Galite parodyti šiuos dokumentus savo viršininkams ir pasakyti: laikai pasikeitė. Privalomi slaptažodžio keitimai yra archajiški, dabar beveik oficialūs. Net saugumo auditas šio reikalavimo nebetikrins (jei jis pagrįstas oficialiomis pagrindinės Windows kompiuterių apsaugos taisyklėmis).


Sąrašo fragmentas su pagrindinėmis „Windows 10 v1809“ saugos strategijomis ir pakeitimais 1903 m., kai atitinkamos slaptažodžio galiojimo pabaigos strategijos nebegalioja. Beje, naujoje versijoje pagal numatytuosius nustatymus taip pat atšauktos administratoriaus ir svečių paskyros

„Microsoft“ savo tinklaraščio įraše puikiai paaiškina, kodėl atsisakė privalomo slaptažodžio keitimo taisyklės: „Periodinis slaptažodžio galiojimo laikas apsaugo tik nuo galimybės, kad slaptažodis (arba maiša) per jo galiojimo laiką bus pavogtas ir juo pasinaudos neleistinas asmuo. Jei slaptažodis nepavogtas, jo keisti nėra prasmės. Ir jei turite įrodymų, kad slaptažodis buvo pavogtas, akivaizdžiai norėsite veikti nedelsiant, o ne laukti, kol baigsis jo galiojimo laikas, kad išspręstumėte problemą.

„Microsoft“ toliau aiškina, kad šiandieninėje aplinkoje nedera apsisaugoti nuo slaptažodžių vagystės naudojant šį metodą: „Jei žinoma, kad slaptažodis gali būti pavogtas, kiek dienų yra priimtinas laikotarpis vagiui leisti naudoti tą pavogtą slaptažodį? Numatytoji reikšmė yra 42 dienos. Ar neatrodo juokingai ilgas laikas? Iš tiesų, tai labai ilgas laikotarpis, tačiau dabartinis mūsų pradinis laikotarpis buvo 60 dienų, o anksčiau – 90 dienų, nes priverstinis dažnas galiojimo laikas sukelia savų problemų. Ir jei slaptažodis nebūtinai pavogtas, jūs gaunate šias problemas be jokios naudos. Be to, jei jūsų vartotojai nori iškeisti slaptažodį į saldainius, jokia slaptažodžio galiojimo termino politika nepadės.

alternatyva

„Microsoft“ rašo, kad jos pagrindinės saugos strategijos yra skirtos gerai valdomoms, saugai svarbioms įmonėms. Jie taip pat skirti pateikti gaires auditoriams. Jei tokia organizacija įdiegė uždraustų slaptažodžių sąrašus, kelių veiksnių autentifikavimą, slaptažodžio brute force atakų aptikimą ir anomalaus prisijungimo bandymo aptikimą, ar reikalingas periodiškas slaptažodžio galiojimo laikas? O jei jie neįdiegė modernių saugumo priemonių, ar slaptažodžio galiojimo laikas jiems padės?

„Microsoft“ logika stebėtinai įtikinama. Turime dvi galimybes:

1. Įmonėje įdiegtos modernios saugumo priemonės.
2. įmonė ne įdiegė modernias saugumo priemones.

Pirmuoju atveju periodiškas slaptažodžio keitimas papildomos naudos nesuteikia.

Antruoju atveju periodiškas slaptažodžio keitimas yra nenaudingas.

Taigi, vietoj slaptažodžio galiojimo pabaigos datos, pirmiausia turite naudoti kelių veiksnių autentifikavimas. Aukščiau pateiktos papildomos saugumo priemonės: draudžiamų slaptažodžių sąrašai, brutalios jėgos aptikimas ir kiti nenormalūs prisijungimo bandymai.

«Periodinis slaptažodžio galiojimo laikas yra sena ir pasenusi saugumo priemonė“, daro išvadą „Microsoft“, „ir mes netikime, kad yra kokia nors konkreti vertė, kurią verta taikyti mūsų pradiniam apsaugos lygiui. Pašalinus jį iš mūsų pradinio lygio, organizacijos gali pasirinkti tai, kas geriausiai atitinka jų suvokiamus poreikius, neprieštaraudamos mūsų rekomendacijoms.

Produkcija

Jei šiandien įmonė verčia vartotojus periodiškai keisti slaptažodžius, ką galėtų pagalvoti pašalinis stebėtojas?

1. Dano: įmonė naudoja archajišką gynybos mechanizmą.
2. Prielaida: įmonė neįdiegė modernių apsaugos mechanizmų.
3. Išvada: šiuos slaptažodžius lengviau gauti ir naudoti.

Pasirodo, periodiškai keičiant slaptažodžius, įmonė tampa patrauklesniu atakų taikiniu.

Šaltinis: www.habr.com