ProHoster > blog > administratie > Het periodiek wijzigen van wachtwoorden is een verouderde praktijk, het is tijd om hiervan af te zien

Het periodiek wijzigen van wachtwoorden is een verouderde praktijk, het is tijd om hiervan af te zien

Veel IT-systemen hebben een verplichte regel voor het periodiek wijzigen van wachtwoorden. Dit is misschien wel de meest gehate en meest nutteloze vereiste voor beveiligingssystemen. Sommige gebruikers veranderen eenvoudigweg het nummer aan het einde als een levenshack.

Deze praktijk veroorzaakte veel ongemak. Mensen moesten het echter volhouden, omdat dit omwille van de veiligheid. Nu is dit advies volkomen irrelevant. In mei 2019 heeft zelfs Microsoft eindelijk de vereiste voor periodieke wachtwoordwijzigingen verwijderd uit het basisniveau van beveiligingsvereisten voor persoonlijke en serverversies van Windows 10: hier officiële blogverklaring met een lijst met wijzigingen in versie Windows 10 v 1903 (let op de zinsnede Het schrappen van het beleid voor het verlopen van wachtwoorden, dat periodieke wachtwoordwijzigingen vereist). De regels zelf en het systeembeleid Windows 10 versie 1903 en Windows Server 2019 beveiligingsbasislijn inbegrepen in de set Microsoft Security Compliance Toolkit 1.0.

U kunt deze documenten aan uw superieuren laten zien en zeggen: de tijden zijn veranderd. Verplichte wachtwoordwijzigingen zijn archaïsch en nu bijna officieel. Zelfs een beveiligingsaudit zal deze vereiste niet langer controleren (als deze gebaseerd is op de officiële regels voor basisbescherming van Windows-computers).

Het periodiek wijzigen van wachtwoorden is een verouderde praktijk, het is tijd om hiervan af te zien
Een fragment van een lijst met basisbeveiligingsbeleid voor Windows 10 v1809 en wijzigingen in 1903, waarbij het bijbehorende beleid voor het verlopen van wachtwoorden niet langer van toepassing is. Overigens worden in de nieuwe versie ook beheerders- en gastaccounts standaard geannuleerd

Microsoft legt in een blogpost op beroemde wijze uit waarom het de regel voor verplichte wachtwoordwijziging heeft afgeschaft: “Het periodiek verlopen van het wachtwoord beschermt alleen tegen de mogelijkheid dat het wachtwoord (of de hash) tijdens zijn levensduur wordt gestolen en door een ongeautoriseerde persoon wordt gebruikt. Als het wachtwoord niet wordt gestolen, heeft het geen zin om het te wijzigen. En als je bewijs hebt dat een wachtwoord is gestolen, wil je uiteraard onmiddellijk actie ondernemen en niet wachten tot het wachtwoord verloopt om het probleem op te lossen."

Microsoft legt verder uit dat het in de huidige omgeving niet gepast is om met deze methode bescherming te bieden tegen wachtwoorddiefstal: “Als bekend is dat een wachtwoord waarschijnlijk wordt gestolen, hoeveel dagen is dan een aanvaardbare periode om een ​​dief de kans te geven dat gestolen wachtwoord gebruiken? De standaardwaarde is 42 dagen. Lijkt dat niet belachelijk lang? Dit is inderdaad een zeer lange tijd, en toch werd onze huidige basis vastgesteld op 60 dagen – en voorheen op 90 dagen – omdat het forceren van frequente expiraties zijn eigen problemen met zich meebrengt. En als het wachtwoord niet noodzakelijkerwijs wordt gestolen, krijgt u deze problemen zonder enig voordeel. Bovendien, als uw gebruikers bereid zijn een wachtwoord in te ruilen voor snoep, zal geen enkel wachtwoordvervalbeleid helpen.”

Альтернатива

Microsoft schrijft dat het basisbeveiligingsbeleid bedoeld is voor gebruik door goed beheerde, beveiligingsbewuste bedrijven. Ze zijn ook bedoeld als leidraad voor accountants. Als een dergelijke organisatie verboden wachtwoordlijsten, multi-factor authenticatie, detectie van brute force-aanvallen op wachtwoorden en detectie van afwijkende inlogpogingen heeft geïmplementeerd, is het dan periodiek verlopen van het wachtwoord vereist? En als ze geen moderne beveiligingsmaatregelen hebben geïmplementeerd, zal het verlopen van wachtwoorden hen dan helpen?

De logica van Microsoft is verrassend overtuigend. We hebben twee opties:

  1. Het bedrijf heeft moderne veiligheidsmaatregelen geïmplementeerd.
  2. vennootschap geen heeft moderne veiligheidsmaatregelen ingevoerd.

In het eerste geval biedt het periodiek wijzigen van het wachtwoord geen extra voordelen.

In het tweede geval is het periodiek wijzigen van het wachtwoord nutteloos.

Dus in plaats van de vervaldatum van het wachtwoord, moet u allereerst het volgende gebruiken: authenticatie met meerdere factoren. Aanvullende beveiligingsmaatregelen zijn hierboven vermeld: lijsten met verboden wachtwoorden, detectie van brute kracht en andere afwijkende inlogpogingen.

«Het periodiek verlopen van wachtwoorden is een eeuwenoude en achterhaalde beveiligingsmaatregel", besluit Microsoft, "en we geloven niet dat er enige specifieke waarde is die de moeite waard is om toe te passen op ons basisbeschermingsniveau. Door het uit onze basislijn te verwijderen, kunnen organisaties kiezen wat het beste aansluit bij hun waargenomen behoeften, zonder in strijd te zijn met onze aanbevelingen.”

Uitgang

Als een bedrijf vandaag de dag gebruikers dwingt hun wachtwoorden periodiek te wijzigen, wat zou een externe waarnemer dan denken?

  1. gegeven: het bedrijf maakt gebruik van een archaïsch verdedigingsmechanisme.
  2. Aanname: het bedrijf heeft geen moderne beschermingsmechanismen geïmplementeerd.
  3. Conclusie: deze wachtwoorden zijn gemakkelijker te verkrijgen en te gebruiken.

Het blijkt dat het periodiek wijzigen van wachtwoorden een bedrijf een aantrekkelijker doelwit voor aanvallen maakt.

Het periodiek wijzigen van wachtwoorden is een verouderde praktijk, het is tijd om hiervan af te zien


Bron: www.habr.com

Voeg een reactie