Mange IT-systemer har en obligatorisk regel om periodisk endring av passord. Dette er kanskje det mest forhatte og mest ubrukelige kravet til sikkerhetssystemer. Noen brukere endrer ganske enkelt nummeret på slutten som et livshack.

Denne praksisen medførte mye ulempe. Imidlertid måtte folk tåle, fordi dette for sikkerhets skyld. Nå er dette rådet helt irrelevant. I mai 2019 fjernet til og med Microsoft endelig kravet om periodiske passordendringer fra det grunnleggende sikkerhetskravet for personlige og serverversjoner av Windows 10: her offisiell bloggerklæring med en liste over endringer i versjon Windows 10 v 1903 (merk setningen Slippe retningslinjene for utløp av passord som krever periodiske passordendringer). Selve reglene og systempolicyer Windows 10 versjon 1903 og Windows Server 2019 Security Baseline inkludert i settet Microsoft Security Compliance Toolkit 1.0.

Du kan vise disse dokumentene til dine overordnede og si: tidene har endret seg. Obligatoriske passordendringer er arkaiske, nå nesten offisielle. Selv en sikkerhetsrevisjon vil ikke lenger sjekke dette kravet (hvis det er basert på de offisielle reglene for grunnleggende beskyttelse av Windows-datamaskiner).


Et fragment av en liste med grunnleggende sikkerhetspolicyer for Windows 10 v1809 og endringer i 1903, der de tilsvarende retningslinjene for passordutløp ikke lenger gjelder. Forresten, i den nye versjonen er administrator- og gjestekontoer også kansellert som standard

Microsoft forklarer berømt i et blogginnlegg hvorfor det forlot regelen for obligatorisk passordendring: "Periodisk passordutløp beskytter bare mot muligheten for at passordet (eller hashen) vil bli stjålet i løpet av levetiden og brukt av en uautorisert person. Hvis passordet ikke blir stjålet, er det ingen vits i å endre det. Og hvis du har bevis på at et passord er stjålet, vil du åpenbart handle umiddelbart i stedet for å vente til det utløper for å fikse problemet."

Microsoft fortsetter med å forklare at i dagens miljø er det ikke hensiktsmessig å beskytte mot passordtyveri ved å bruke denne metoden: «Hvis det er kjent at et passord sannsynligvis vil bli stjålet, hvor mange dager er en akseptabel tidsperiode for å la en tyv bruke det stjålne passordet? Standardverdien er 42 dager. Virker ikke det som en latterlig lang tid? Dette er faktisk veldig lang tid, og likevel ble vår nåværende baseline satt til 60 dager - og tidligere til 90 dager - fordi å tvinge frem hyppige utløp introduserer sine egne problemer. Og hvis passordet ikke nødvendigvis blir stjålet, får du disse problemene uten fordel. Dessuten, hvis brukerne dine er villige til å bytte et passord mot godteri, vil ingen retningslinjer for passordutløp hjelpe."

Альтернатива

Microsoft skriver at deres grunnleggende sikkerhetspolicyer er ment for bruk av godt administrerte, sikkerhetsbevisste virksomheter. De er også ment å gi veiledning til revisorer. Hvis en slik organisasjon har implementert forbudte passordlister, multifaktorautentisering, gjenkjenning av brute force-angrep med passord og oppdagelse av unormale påloggingsforsøk, kreves det periodisk passordutløp? Og hvis de ikke har implementert moderne sikkerhetstiltak, vil passordutløp hjelpe dem?

Microsofts logikk er overraskende overbevisende. Vi har to alternativer:

1. Selskapet har implementert moderne sikkerhetstiltak.
2. selskap no har innført moderne sikkerhetstiltak.

I det første tilfellet gir periodisk endring av passordet ikke ytterligere fordeler.

I det andre tilfellet er periodisk endring av passord ubrukelig.

Derfor, i stedet for passordets utløpsdato, må du først og fremst bruke, multifaktorautentisering. Ytterligere sikkerhetstiltak er oppført ovenfor: lister over forbudte passord, gjenkjenning av brute force og andre unormale påloggingsforsøk.

«Periodisk passordutløp er et gammelt og utdatert sikkerhetstiltak", konkluderer Microsoft, "og vi tror ikke det er noen spesifikk verdi verdt å bruke på vårt grunnleggende beskyttelsesnivå. Ved å fjerne det fra vår grunnlinje, kan organisasjoner velge det som passer best for deres oppfattede behov uten å komme i konflikt med våre anbefalinger.»

Utgang

Hvis et selskap i dag tvinger brukere til å endre passordene sine med jevne mellomrom, hva kan en utenforstående observatør tenke?

1. gitt: selskapet bruker en arkaisk forsvarsmekanisme.
2. Antagelse: selskapet har ikke implementert moderne beskyttelsesmekanismer.
3. Konklusjon: disse passordene er enklere å få tak i og bruke.

Det viser seg at periodisk endring av passord gjør et selskap til et mer attraktivt mål for angrep.

Kilde: www.habr.com