Ħafna sistemi tal-IT għandhom regola obbligatorja li jinbidlu perjodikament il-passwords. Din hija forsi l-aktar rekwiżit mibgħut u l-aktar inutli tas-sistemi tas-sigurtà. Xi utenti sempliċement jibdlu n-numru fl-aħħar bħala hack tal-ħajja.

Din il-prattika kkawżat ħafna inkonvenjent. Madankollu, in-nies kellhom isofru, għaliex dan għall-fini tas-sigurtà. Issa dan il-parir huwa kompletament irrilevanti. F'Mejju 2019, anke Microsoft fl-aħħar neħħiet ir-rekwiżit għal bidliet perjodiċi fil-password mil-livell bażiku tar-rekwiżiti tas-sigurtà għall-verżjonijiet personali u tas-server tal-Windows 10: hawn dikjarazzjoni uffiċjali tal-blog b'lista ta' bidliet fil-verżjoni Windows 10 v 1903 (innota l-frażi Waqqa 'l-politiki ta' skadenza tal-password li jeħtieġu bidliet perjodiċi fil-password). Ir-regoli nfushom u l-politiki tas-sistema Windows 10 Verżjoni 1903 u Windows Server 2019 Linja Bażi tas-Sigurtà inkluż fil-kit Microsoft Security Compliance Toolkit 1.0.

Tista’ turi dawn id-dokumenti lis-superjuri tiegħek u tgħid: il-ħinijiet inbidlu. Bidliet obbligatorji fil-password huma arkajċi, issa kważi uffiċjali. Anke verifika tas-sigurtà ma tibqax tiċċekkja dan ir-rekwiżit (jekk ikun ibbażat fuq ir-regoli uffiċjali għall-protezzjoni bażika tal-kompjuters Windows).


Framment ta' lista b'politiki bażiċi ta' sigurtà għal Windows 10 v1809 u bidliet fl-1903, fejn il-politiki ta' skadenza tal-password korrispondenti ma jibqgħux japplikaw. Mill-mod, fil-verżjoni l-ġdida, l-amministratur u l-kontijiet tal-mistednin huma wkoll ikkanċellati awtomatikament

Microsoft tispjega b’mod famuż f’post fuq blog għaliex abbandunat ir-regola obbligatorja tal-bidla tal-password: “Iskadenza perjodika tal-password tipproteġi biss kontra l-possibbiltà li l-password (jew hash) tinsteraq matul ħajjitha u tintuża minn persuna mhux awtorizzata. Jekk il-password ma tinsteraqx, m'hemmx għalfejn tinbidelha. U jekk għandek evidenza li password tkun insterqet, ovvjament trid taġixxi immedjatament aktar milli tistenna sakemm tiskadi biex tirranġa l-problema."

Microsoft tkompli tispjega li fl-ambjent tal-lum mhux xieraq li tipproteġi kontra s-serq tal-password bl-użu ta’ dan il-metodu: “Jekk ikun magħruf li password x’aktarx tinsteraq, kemm-il ġurnata huwa perjodu aċċettabbli ta’ żmien biex ħalliel tuża dik il-password misruqa? Il-valur default huwa 42 jum. Ma jidhirx li huwa żmien ridicolously twil? Tabilħaqq, dan huwa żmien twil ħafna, u madankollu l-linja bażi attwali tagħna kienet stabbilita għal 60 jum - u qabel għal 90 jum - minħabba li sfurzar skadenza frekwenti tintroduċi l-problemi tagħha stess. U jekk il-password mhix neċessarjament misruqa, allura qed takkwista dawn il-problemi għall-ebda benefiċċju. Barra minn hekk, jekk l-utenti tiegħek huma lesti li jinnegozjaw password għal kandju, l-ebda politika ta’ skadenza tal-password ma tgħin.”

Alternattiva

Microsoft tikteb li l-politiki tas-sigurtà bażi tagħha huma maħsuba għall-użu minn negozji ġestiti tajjeb u konxji tas-sigurtà. Huma maħsuba wkoll biex jipprovdu gwida lill-awdituri. Jekk organizzazzjoni bħal din tkun implimentat listi ta' password pprojbiti, awtentikazzjoni b'ħafna fatturi, skoperta ta' attakki ta' forza bruta ta' password, u skoperta ta' tentattiv ta' login anomali, hija meħtieġa l-iskadenza perjodika tal-password? U jekk ma implimentawx miżuri ta' sigurtà moderni, l-iskadenza tal-password tgħinhom?

Il-loġika ta' Microsoft hija sorprendentement konvinċenti. Għandna żewġ għażliet:

1. Il-kumpanija implimentat miżuri ta 'sigurtà moderni.
2. kumpanija ebda introduċa miżuri ta’ sigurtà moderni.

Fl-ewwel każ, il-bidla perjodika tal-password ma tipprovdix benefiċċji addizzjonali.

Fit-tieni każ, il-bidla perjodika tal-password hija inutli.

Għalhekk, minflok id-data tal-iskadenza tal-password, trid tuża, l-ewwelnett, awtentikazzjoni b'ħafna fatturi. Miżuri ta' sigurtà addizzjonali huma elenkati hawn fuq: listi ta' passwords ipprojbiti, skoperta ta' forza bruta u tentattivi oħra ta' login anomali.

«L-iskadenza perjodika tal-password hija miżura tas-sigurtà antika u antikwata", tikkonkludi Microsoft, "u ma nemmnux li hemm xi valur speċifiku li ta' min japplika għal-livell ta' protezzjoni bażi tagħna. Billi tneħħiha mil-linja bażi tagħna, l-organizzazzjonijiet jistgħu jagħżlu dak li jaqbel l-aħjar għall-bżonnijiet perċepiti tagħhom mingħajr ma jikkonfliġġu mar-rakkomandazzjonijiet tagħna."

Output

Jekk kumpanija llum iġiegħel lill-utenti jibdlu l-passwords tagħhom perjodikament, x'jista' jaħseb osservatur minn barra?

1. Mogħti: il-kumpanija tuża mekkaniżmu ta 'difiża arkajka.
2. Assunzjoni: il-kumpanija ma implimentatx mekkaniżmi protettivi moderni.
3. Konklużjoni: dawn il-passwords huma aktar faċli biex jinkisbu u jintużaw.

Jirriżulta li l-passwords li jinbidlu perjodikament jagħmlu kumpanija mira aktar attraenti għall-attakki.

Sors: www.habr.com