Daudzām IT sistēmām ir obligāts noteikums periodiski mainīt paroles. Šī, iespējams, ir visnīstamākā un bezjēdzīgākā drošības sistēmu prasība. Daži lietotāji vienkārši nomaina numuru beigās kā dzīvības hack.
Šī prakse radīja daudz neērtības. Tomēr cilvēkiem bija jāpacieš, jo š drošības labad. Tagad šis padoms ir pilnīgi nenozīmīgs. 2019. gada maijā pat Microsoft beidzot atcēla prasību par periodiskām paroles maiņām no Windows 10 personisko un servera versiju drošības pamatprasību līmeņa: šeit ar izmaiņu sarakstu versijā Windows 10 v1903 (ņemiet vērā frāzi Atteikties no paroles derīguma termiņa politikām, kurām nepieciešama periodiska paroles maiņa). Paši noteikumi un sistēmas politikas Windows 10 versija 1903 un Windows Server 2019 drošības bāzes līnija iekļauts komplektā .
Jūs varat parādīt šos dokumentus saviem priekšniekiem un teikt: laiki ir mainījušies. Obligātās paroles maiņas ir arhaiskas, tagad gandrīz oficiālas. Pat drošības audits vairs nepārbaudīs šo prasību (ja tā ir balstīta uz oficiālajiem Windows datoru pamata aizsardzības noteikumiem).
Saraksta fragments ar pamata drošības politikām operētājsistēmai Windows 10 v1809 un izmaiņām 1903. gadā, kur vairs netiek piemērotas atbilstošās paroles derīguma termiņa politikas. Starp citu, jaunajā versijā pēc noklusējuma tiek atcelti arī administratora un viesu konti
Microsoft savā emuāra ierakstā plaši izskaidro, kāpēc tā atteicās no obligātās paroles maiņas noteikuma: “Periodiska paroles derīguma termiņš tikai aizsargā pret iespēju, ka parole (vai jaucējkods) tās darbības laikā tiks nozagta un to izmantos nepilnvarota persona. Ja parole nav nozagta, nav jēgas to mainīt. Un, ja jums ir pierādījumi, ka parole ir nozagta, jūs noteikti vēlēsities rīkoties nekavējoties, nevis gaidīt, līdz beidzas tās derīguma termiņš, lai atrisinātu problēmu.
Microsoft turpina skaidrot, ka mūsdienu vidē nav pareizi aizsargāties pret paroļu zādzību, izmantojot šo metodi: “Ja ir zināms, ka parole, visticamāk, tiks nozagta, cik dienas ir pieņemams laika posms, lai zaglis varētu to nozagt. izmantot šo nozagto paroli? Noklusējuma vērtība ir 42 dienas. Vai tas nešķiet smieklīgi ilgs laiks? Patiešām, tas ir ļoti ilgs laiks, un tomēr mūsu pašreizējais bāzes rādītājs bija 60 dienas — un iepriekš — 90 dienas, jo biežu termiņu piespiešana rada savas problēmas. Un, ja parole ne vienmēr ir nozagta, jūs iegūstat šīs problēmas bez labuma. Turklāt, ja jūsu lietotāji vēlas apmainīt paroli pret konfektēm, nekāda paroles derīguma termiņa politika nepalīdzēs.
Альтернатива
Microsoft raksta, ka tās bāzes drošības politikas ir paredzētas labi pārvaldītiem, drošību apzinošiem uzņēmumiem. Tie ir arī paredzēti, lai sniegtu norādījumus revidentiem. Ja šāda organizācija ir ieviesusi aizliegto paroļu sarakstus, vairāku faktoru autentifikāciju, paroles brutālā spēka uzbrukumu noteikšanu un anomālu pieteikšanās mēģinājumu noteikšanu, vai ir nepieciešama periodiska paroles derīguma termiņš? Un, ja viņi nav ieviesuši modernus drošības pasākumus, vai paroles derīguma termiņš viņiem palīdzēs?
Microsoft loģika ir pārsteidzoši pārliecinoša. Mums ir divas iespējas:
- Uzņēmums ir ieviesis mūsdienīgus drošības pasākumus.
- kompānija nē ir ieviesusi mūsdienīgus drošības pasākumus.
Pirmajā gadījumā periodiska paroles maiņa nesniedz papildu priekšrocības.
Otrajā gadījumā periodiska paroles maiņa ir bezjēdzīga.
Tādējādi paroles derīguma termiņa vietā vispirms ir jāizmanto daudzfaktoru autentifikācija. Papildu drošības pasākumi ir uzskaitīti iepriekš: aizliegto paroļu saraksti, brutāla spēka un citu anomālu pieteikšanās mēģinājumu noteikšana.
«Periodiska paroles derīguma termiņš ir sens un novecojis drošības pasākums", Microsoft secina, "un mēs neuzskatām, ka ir kāda īpaša vērtība, ko būtu vērts piemērot mūsu bāzes aizsardzības līmenim. Noņemot to no mūsu bāzes līnijas, organizācijas var izvēlēties to, kas vislabāk atbilst viņu uztvertajām vajadzībām, nenonākot pretrunā ar mūsu ieteikumiem.
secinājums
Ja uzņēmums mūsdienās liek lietotājiem periodiski mainīt paroles, ko varētu domāt ārējais novērotājs?
- Ņemot vērā: uzņēmums izmanto arhaisku aizsardzības mehānismu.
- Pieņēmums: uzņēmums nav ieviesis mūsdienīgus aizsargmehānismus.
- Secinājums: šīs paroles ir vieglāk iegūt un lietot.
Izrādās, ka periodiska paroļu maiņa padara uzņēmumu par pievilcīgāku uzbrukumu mērķi.
Avots: www.habr.com