Мэдээллийн технологийн олон системд нууц үгээ үе үе солих зайлшгүй дүрэм байдаг. Энэ нь магадгүй аюулгүй байдлын системийн хамгийн үзэн яддаг, хамгийн хэрэггүй шаардлага юм. Зарим хэрэглэгчид зүгээр л лайф хакер гэж төгсгөлд нь дугаараа өөрчилдөг.

Энэ дасгал нь маш их төвөг учруулсан. Гэсэн хэдий ч хүмүүс үүнийг тэсвэрлэх ёстой байсан, учир нь энэ аюулгүй байдлын үүднээс. Одоо энэ зөвлөгөө огт хамааралгүй болсон. 2019 оны 10-р сард Microsoft хүртэл Windows XNUMX-ийн хувийн болон серверийн хувилбаруудын аюулгүй байдлын үндсэн түвшнээс нууц үгээ үе үе өөрчлөх шаардлагыг устгасан: энд албан ёсны блог мэдэгдэл Windows 10 v 1903 хувилбарт гарсан өөрчлөлтүүдийн жагсаалттай (хэлбэрийг анхаарна уу Үе үе нууц үг солих шаардлагатай нууц үгийн хүчинтэй байх бодлогыг хасаж байна). Дүрэм нь өөрөө болон системийн бодлого Windows 10 хувилбар 1903 болон Windows Server 2019 аюулгүй байдлын суурь иж бүрдэлд багтсан Microsoft-ын аюулгүй байдлын нийцлийн хэрэгслийн хэрэгсэл 1.0.

Та эдгээр баримт бичгүүдийг даргадаа үзүүлээд: цаг өөрчлөгдсөн гэж хэлж болно. Заавал нууц үг солих нь хуучинсаг, одоо бараг албан ёсны юм. Аюулгүй байдлын аудит хүртэл энэ шаардлагыг шалгахаа болино (хэрэв энэ нь Windows компьютерийн үндсэн хамгаалалтын албан ёсны дүрэмд үндэслэсэн бол).


Windows 10 v1809-д зориулсан аюулгүй байдлын үндсэн бодлого болон 1903 онд гарсан өөрчлөлтүүдтэй жагсаалтын хэсэг, нууц үгийн хүчинтэй байх хугацаа дуусах бодлого хэрэгжихээ больсон. Дашрамд хэлэхэд, шинэ хувилбарт администратор болон зочны бүртгэлийг анхдагчаар цуцалсан

Майкрософт өөрийн блогтоо яагаад заавал нууц үг солих дүрмийг орхисноо тайлбарлав: "Нууц үгийн хугацаа нь үе үе дуусах нь зөвхөн нууц үг (эсвэл хэш) ашиглалтын хугацаанд хулгайлагдаж, зөвшөөрөлгүй хүн ашиглахаас хамгаалдаг. Хэрэв нууц үг хулгайлагдаагүй бол түүнийг солих нь утгагүй болно. Хэрэв танд нууц үг хулгайлагдсан гэх нотлох баримт байгаа бол асуудлыг шийдэхийн тулд хугацаа нь дуустал хүлээхийн оронд яаралтай арга хэмжээ авахыг хүсэх нь ойлгомжтой."

Майкрософт өнөө үед нууц үгээ хулгайд алдахаас энэ аргыг ашиглан хамгаалах нь тохиромжгүй гэж тайлбарлав: "Хэрэв нууц үг хулгайлагдах магадлалтай нь мэдэгдэж байгаа бол хулгайч хэдэн өдрийн турш нууц үгээ хулгайд алдахыг зөвшөөрөх боломжтой вэ? хулгайлагдсан нууц үгийг ашиглах уу? Өгөгдмөл утга нь 42 хоног байна. Энэ нь инээдтэй урт хугацаа мэт санагдахгүй байна уу? Үнэн хэрэгтээ энэ бол маш урт хугацаа, гэхдээ бидний одоогийн суурь үзүүлэлтийг 60 хоног, өмнө нь 90 хоног гэж тогтоосон байсан - учир нь ойр ойрхон дуусгавар болгох нь өөрийн гэсэн асуудал үүсгэдэг. Хэрэв нууц үг заавал хулгайд хийгээгүй бол та эдгээр асуудлуудыг ямар ч ашиггүйгээр олж авсан болно. Үүнээс гадна, хэрэв таны хэрэглэгчид нууц үгээ чихэрээр солиход бэлэн байгаа бол нууц үгийн хүчинтэй байх хугацаа нь ямар ч бодлого тус болохгүй."

Алтернатив

Майкрософт өөрийн аюулгүй байдлын үндсэн бодлого нь сайн удирдлагатай, аюулгүй байдлыг эрхэмлэдэг бизнесүүдэд зориулагдсан гэж бичжээ. Тэд мөн аудиторуудад зааварчилгаа өгөх зорилготой юм. Хэрэв ийм байгууллага хориглосон нууц үгийн жагсаалт, олон хүчин зүйлийн баталгаажуулалт, нууц үгээр харгис хэрцгий халдлага илрүүлэх, хэвийн бус нэвтрэх оролдлогыг илрүүлсэн бол нууц үгийн хугацаа үе үе дуусах шаардлагатай юу? Хэрэв тэд орчин үеийн аюулгүй байдлын арга хэмжээг хэрэгжүүлээгүй бол нууц үгийн хүчинтэй байх хугацаа тэдэнд туслах уу?

Майкрософт-ийн логик нь гайхалтай үнэмшилтэй юм. Бидэнд хоёр сонголт байна:

1. Тус компани нь орчин үеийн аюулгүй байдлын арга хэмжээг хэрэгжүүлсэн.
2. Фирм үгүй орчин үеийн аюулгүй байдлын арга хэмжээг нэвтрүүлсэн.

Эхний тохиолдолд нууц үгээ үе үе өөрчлөх нь нэмэлт ашиг тус өгөхгүй.

Хоёр дахь тохиолдолд нууц үгээ үе үе өөрчлөх нь ашиггүй болно.

Тиймээс, нууц үгийн хугацаа дуусахын оронд та юуны түрүүнд, олон хүчин зүйлийн баталгаажуулалт. Аюулгүй байдлын нэмэлт арга хэмжээг дээр дурдсан болно: хориглосон нууц үгүүдийн жагсаалт, харгис хүч хэрэглэх болон бусад хэвийн бус нэвтрэх оролдлогуудыг илрүүлэх.

«Нууц үгийн хугацааг үе үе дуусгах нь эртний бөгөөд хуучирсан аюулгүй байдлын арга хэмжээ юм"гэж Майкрософт дүгнэж, "Бид үндсэн хамгаалалтын түвшинд хэрэглэх тодорхой үнэ цэнэ байхгүй гэдэгт бид итгэдэггүй. Үүнийг манай суурь үзүүлэлтээс хассанаар байгууллагууд бидний зөвлөмжтэй зөрчилдөхгүйгээр өөрсдийн хэрэгцээнд хамгийн сайн тохирохыг сонгох боломжтой."

дүгнэлт

Хэрэв компани өнөөдөр хэрэглэгчдийг нууц үгээ үе үе өөрчлөхийг албаддаг бол гадны ажиглагч юу гэж бодож болох вэ?

1. Үүнд: компани нь эртний хамгаалалтын механизмыг ашигладаг.
2. Таамаглал: Тус компани орчин үеийн хамгаалалтын механизмыг хэрэгжүүлээгүй.
3. Дүгнэлт: Эдгээр нууц үгийг олж авах, ашиглахад илүү хялбар байдаг.

Нууц үгээ үе үе солих нь компанийг халдлагад өртөх илүү сонирхол татахуйц бай болгодог.

Эх сурвалж: www.habr.com