Ħafna sistemi tal-IT għandhom regola obbligatorja li jinbidlu perjodikament il-passwords. Din hija forsi l-aktar rekwiżit mibgħut u l-aktar inutli tas-sistemi tas-sigurtà. Xi utenti sempliċement jibdlu n-numru fl-aħħar bħala hack tal-ħajja.
Din il-prattika kkawżat ħafna inkonvenjent. Madankollu, in-nies kellhom isofru, għaliex dan għall-fini tas-sigurtà. Issa dan il-parir huwa kompletament irrilevanti. F'Mejju 2019, anke Microsoft fl-aħħar neħħiet ir-rekwiżit għal bidliet perjodiċi fil-password mil-livell bażiku tar-rekwiżiti tas-sigurtà għall-verżjonijiet personali u tas-server tal-Windows 10: hawn
Tista’ turi dawn id-dokumenti lis-superjuri tiegħek u tgħid: il-ħinijiet inbidlu. Bidliet obbligatorji fil-password huma arkajċi, issa kważi uffiċjali. Anke verifika tas-sigurtà ma tibqax tiċċekkja dan ir-rekwiżit (jekk ikun ibbażat fuq ir-regoli uffiċjali għall-protezzjoni bażika tal-kompjuters Windows).
Framment ta' lista b'politiki bażiċi ta' sigurtà għal Windows 10 v1809 u bidliet fl-1903, fejn il-politiki ta' skadenza tal-password korrispondenti ma jibqgħux japplikaw. Mill-mod, fil-verżjoni l-ġdida, l-amministratur u l-kontijiet tal-mistednin huma wkoll ikkanċellati awtomatikament
Microsoft tispjega b’mod famuż f’post fuq blog għaliex abbandunat ir-regola obbligatorja tal-bidla tal-password: “Iskadenza perjodika tal-password tipproteġi biss kontra l-possibbiltà li l-password (jew hash) tinsteraq matul ħajjitha u tintuża minn persuna mhux awtorizzata. Jekk il-password ma tinsteraqx, m'hemmx għalfejn tinbidelha. U jekk għandek evidenza li password tkun insterqet, ovvjament trid taġixxi immedjatament aktar milli tistenna sakemm tiskadi biex tirranġa l-problema."
Microsoft tkompli tispjega li fl-ambjent tal-lum mhux xieraq li tipproteġi kontra s-serq tal-password bl-użu ta’ dan il-metodu: “Jekk ikun magħruf li password x’aktarx tinsteraq, kemm-il ġurnata huwa perjodu aċċettabbli ta’ żmien biex ħalliel tuża dik il-password misruqa? Il-valur default huwa 42 jum. Ma jidhirx li huwa żmien ridicolously twil? Tabilħaqq, dan huwa żmien twil ħafna, u madankollu l-linja bażi attwali tagħna kienet stabbilita għal 60 jum - u qabel għal 90 jum - minħabba li sfurzar skadenza frekwenti tintroduċi l-problemi tagħha stess. U jekk il-password mhix neċessarjament misruqa, allura qed takkwista dawn il-problemi għall-ebda benefiċċju. Barra minn hekk, jekk l-utenti tiegħek huma lesti li jinnegozjaw password għal kandju, l-ebda politika ta’ skadenza tal-password ma tgħin.”
Alternattiva
Microsoft tikteb li l-politiki tas-sigurtà bażi tagħha huma maħsuba għall-użu minn negozji ġestiti tajjeb u konxji tas-sigurtà. Huma maħsuba wkoll biex jipprovdu gwida lill-awdituri. Jekk organizzazzjoni bħal din tkun implimentat listi ta' password pprojbiti, awtentikazzjoni b'ħafna fatturi, skoperta ta' attakki ta' forza bruta ta' password, u skoperta ta' tentattiv ta' login anomali, hija meħtieġa l-iskadenza perjodika tal-password? U jekk ma implimentawx miżuri ta' sigurtà moderni, l-iskadenza tal-password tgħinhom?
Il-loġika ta' Microsoft hija sorprendentement konvinċenti. Għandna żewġ għażliet:
- Il-kumpanija implimentat miżuri ta 'sigurtà moderni.
- kumpanija ebda introduċa miżuri ta’ sigurtà moderni.
Fl-ewwel każ, il-bidla perjodika tal-password ma tipprovdix benefiċċji addizzjonali.
Fit-tieni każ, il-bidla perjodika tal-password hija inutli.
Għalhekk, minflok id-data tal-iskadenza tal-password, trid tuża, l-ewwelnett, awtentikazzjoni b'ħafna fatturi. Miżuri ta' sigurtà addizzjonali huma elenkati hawn fuq: listi ta' passwords ipprojbiti, skoperta ta' forza bruta u tentattivi oħra ta' login anomali.
«L-iskadenza perjodika tal-password hija miżura tas-sigurtà antika u antikwata", tikkonkludi Microsoft, "u ma nemmnux li hemm xi valur speċifiku li ta' min japplika għal-livell ta' protezzjoni bażi tagħna. Billi tneħħiha mil-linja bażi tagħna, l-organizzazzjonijiet jistgħu jagħżlu dak li jaqbel l-aħjar għall-bżonnijiet perċepiti tagħhom mingħajr ma jikkonfliġġu mar-rakkomandazzjonijiet tagħna."
Output
Jekk kumpanija llum iġiegħel lill-utenti jibdlu l-passwords tagħhom perjodikament, x'jista' jaħseb osservatur minn barra?
- Mogħti: il-kumpanija tuża mekkaniżmu ta 'difiża arkajka.
- Assunzjoni: il-kumpanija ma implimentatx mekkaniżmi protettivi moderni.
- Konklużjoni: dawn il-passwords huma aktar faċli biex jinkisbu u jintużaw.
Jirriżulta li l-passwords li jinbidlu perjodikament jagħmlu kumpanija mira aktar attraenti għall-attakki.
Sors: www.habr.com