Banyak sistem IT mempunyai peraturan wajib menukar kata laluan secara berkala. Ini mungkin keperluan sistem keselamatan yang paling dibenci dan paling tidak berguna. Sesetengah pengguna hanya menukar nombor pada penghujung sebagai penggodaman hayat.
Amalan ini menyebabkan banyak kesulitan. Walau bagaimanapun, orang terpaksa bertahan, kerana ini demi keselamatan. Sekarang nasihat ini tidak relevan sama sekali. Pada Mei 2019, malah Microsoft akhirnya mengalih keluar keperluan untuk perubahan kata laluan berkala daripada tahap asas keperluan keselamatan untuk versi peribadi dan pelayan Windows 10: di sini dengan senarai perubahan pada versi Windows 10 v 1903 (perhatikan frasa Menggugurkan dasar tamat tempoh kata laluan yang memerlukan perubahan kata laluan berkala). Peraturan itu sendiri dan dasar sistem Windows 10 Versi 1903 dan Windows Server 2019 Security Baseline disertakan dalam kit .
Anda boleh menunjukkan dokumen ini kepada pihak atasan anda dan berkata: masa telah berubah. Perubahan kata laluan mandatori adalah kuno, kini hampir rasmi. Malah audit keselamatan tidak lagi akan menyemak keperluan ini (jika ia berdasarkan peraturan rasmi untuk perlindungan asas komputer Windows).
Serpihan senarai dengan dasar keselamatan asas untuk Windows 10 v1809 dan perubahan pada tahun 1903, di mana dasar tamat tempoh kata laluan yang sepadan tidak lagi digunakan. Dengan cara ini, dalam versi baharu, akaun pentadbir dan tetamu juga dibatalkan secara lalai
Microsoft terkenal menerangkan dalam catatan blog mengapa ia meninggalkan peraturan perubahan kata laluan mandatori: "Tamat tempoh kata laluan berkala hanya melindungi daripada kemungkinan kata laluan (atau cincang) akan dicuri sepanjang hayatnya dan digunakan oleh orang yang tidak dibenarkan. Jika kata laluan tidak dicuri, tidak ada gunanya menukarnya. Dan jika anda mempunyai bukti bahawa kata laluan telah dicuri, anda pasti mahu bertindak segera daripada menunggu sehingga tamat tempoh untuk menyelesaikan masalah itu."
Microsoft seterusnya menjelaskan bahawa dalam persekitaran hari ini adalah tidak wajar untuk melindungi daripada kecurian kata laluan menggunakan kaedah ini: βJika diketahui bahawa kata laluan berkemungkinan dicuri, berapa hari adalah tempoh masa yang boleh diterima untuk membenarkan pencuri gunakan kata laluan yang dicuri itu? Nilai lalai ialah 42 hari. Tidakkah itu kelihatan seperti masa yang tidak masuk akal? Memang, ini adalah masa yang sangat lama, namun garis dasar semasa kami ditetapkan pada 60 hari - dan sebelum ini pada 90 hari - kerana memaksa tamat tempoh yang kerap menimbulkan masalahnya sendiri. Dan jika kata laluan tidak semestinya dicuri, maka anda memperoleh masalah ini tanpa faedah. Selain itu, jika pengguna anda sanggup menukar kata laluan untuk gula-gula, tiada dasar tamat tempoh kata laluan akan membantu."
ΠΠ»ΡΡΠ΅ΡΠ½Π°ΡΠΈΠ²Π°
Microsoft menulis bahawa dasar keselamatan asasnya bertujuan untuk digunakan oleh perniagaan yang diurus dengan baik dan mementingkan keselamatan. Mereka juga bertujuan untuk memberi panduan kepada juruaudit. Jika organisasi sedemikian telah melaksanakan senarai kata laluan yang dilarang, pengesahan berbilang faktor, pengesanan serangan brute force kata laluan dan pengesanan percubaan log masuk anomali, adakah tamat tempoh kata laluan berkala diperlukan? Dan jika mereka tidak melaksanakan langkah keselamatan moden, adakah tamat tempoh kata laluan akan membantu mereka?
Logik Microsoft sangat meyakinkan. Kami mempunyai dua pilihan:
- Syarikat itu telah melaksanakan langkah keselamatan moden.
- syarikat tiada telah memperkenalkan langkah keselamatan moden.
Dalam kes pertama, menukar kata laluan secara berkala tidak memberikan faedah tambahan.
Dalam kes kedua, menukar kata laluan secara berkala tidak berguna.
Oleh itu, bukannya tarikh tamat tempoh kata laluan, anda perlu menggunakan, pertama sekali, pengesahan pelbagai faktor. Langkah keselamatan tambahan disenaraikan di atas: senarai kata laluan yang dilarang, pengesanan kekerasan dan percubaan log masuk anomali lain.
Β«Tamat tempoh kata laluan berkala adalah langkah keselamatan yang kuno dan lapuk", Microsoft menyimpulkan, "dan kami tidak percaya terdapat sebarang nilai khusus yang patut digunakan pada tahap perlindungan asas kami. Dengan mengalih keluarnya daripada garis dasar kami, organisasi boleh memilih yang paling sesuai dengan keperluan mereka tanpa bercanggah dengan cadangan kami."
Output
Jika syarikat hari ini memaksa pengguna menukar kata laluan mereka secara berkala, apakah yang mungkin difikirkan oleh pemerhati luar?
- Diberi: syarikat itu menggunakan mekanisme pertahanan kuno.
- Andaian: syarikat itu tidak melaksanakan mekanisme perlindungan moden.
- Kesimpulan: kata laluan ini lebih mudah diperoleh dan digunakan.
Ternyata menukar kata laluan secara berkala menjadikan syarikat sasaran yang lebih menarik untuk serangan.
Sumber: www.habr.com