W wielu systemach informatycznych obowiązuje zasada okresowej zmiany haseł. Jest to prawdopodobnie najbardziej znienawidzony i najbardziej bezużyteczny wymóg systemów bezpieczeństwa. Niektórzy użytkownicy po prostu zmieniają numer na końcu, jako ratunek.

Praktyka ta powodowała wiele niedogodności. Jednak ludzie musieli to znosić, bo to ze względów bezpieczeństwa. Teraz ta rada jest zupełnie nieistotna. W maju 2019 roku nawet Microsoft ostatecznie usunął wymóg okresowej zmiany hasła z podstawowego poziomu wymagań bezpieczeństwa dla osobistych i serwerowych wersji systemu Windows 10: tutaj oficjalny komunikat na blogu z listą zmian w wersji Windows 10 v 1903 (zwróć uwagę na frazę Porzucenie zasad wygasania haseł, które wymagają okresowych zmian haseł). Same reguły i zasady systemu Wersja podstawowa zabezpieczeń systemu Windows 10 1903 i systemu Windows Server 2019 zawarte w zestawie Zestaw narzędzi Microsoft Security Compliance Toolkit 1.0.

Możesz pokazać te dokumenty swoim przełożonym i powiedzieć: czasy się zmieniły. Obowiązkowe zmiany haseł są archaiczne i obecnie niemal oficjalne. Nawet audyt bezpieczeństwa nie będzie już sprawdzał tego wymogu (jeśli opiera się on na oficjalnych zasadach podstawowej ochrony komputerów z systemem Windows).


Fragment listy z podstawowymi politykami bezpieczeństwa dla systemu Windows 10 v1809 i zmianami z roku 1903, gdzie nie obowiązują już odpowiadające im zasady wygaśnięcia haseł. Nawiasem mówiąc, w nowej wersji konta administratora i gościa również są domyślnie anulowane

Microsoft w słynnym poście na blogu wyjaśnia, dlaczego porzucił zasadę obowiązkowej zmiany hasła: „Okresowe wygaśnięcie hasła chroni jedynie przed możliwością kradzieży hasła (lub skrótu) w trakcie jego życia i wykorzystania przez nieuprawnioną osobę. Jeśli hasło nie zostanie skradzione, nie ma sensu go zmieniać. A jeśli masz dowody na to, że hasło zostało skradzione, oczywiście będziesz chciał działać natychmiast, zamiast czekać, aż wygaśnie, aby rozwiązać problem.

Microsoft wyjaśnia dalej, że w dzisiejszym środowisku ochrona przed kradzieżą hasła za pomocą tej metody nie jest właściwa: „Jeśli wiadomo, że hasło może zostać skradzione, ile dni to akceptowalny okres, w którym złodziej może użyć tego skradzionego hasła? Wartość domyślna to 42 dni. Czy to nie wydaje się absurdalnie długim czasem? Rzeczywiście, to bardzo dużo czasu, a mimo to nasz obecny poziom bazowy ustalono na 60 dni – a poprzednio na 90 dni – ponieważ wymuszanie częstych wygaśnięć powoduje własne problemy. A jeśli hasło niekoniecznie zostanie skradzione, nabywasz te problemy bez korzyści. Poza tym, jeśli Twoi użytkownicy chcą zamienić hasło na słodycze, żadna polityka dotycząca wygaśnięcia hasła nie pomoże.

alternatywa

Microsoft pisze, że jego podstawowe zasady bezpieczeństwa są przeznaczone do użytku przez dobrze zarządzane i świadome bezpieczeństwa firmy. Mają one także stanowić wytyczne dla audytorów. Jeśli taka organizacja wdrożyła listy zakazanych haseł, uwierzytelnianie wieloskładnikowe, wykrywanie ataków metodą brute-force i wykrywanie nietypowych prób logowania, czy wymagane jest okresowe wygaśnięcie hasła? A jeśli nie wdrożyli nowoczesnych środków bezpieczeństwa, czy wygaśnięcie hasła im pomoże?

Logika Microsoftu jest zaskakująco przekonująca. Mamy dwie opcje:

1. Firma wdrożyła nowoczesne środki bezpieczeństwa.
2. spółka nie wprowadziła nowoczesne środki bezpieczeństwa.

W pierwszym przypadku okresowa zmiana hasła nie wiąże się z dodatkowymi korzyściami.

W drugim przypadku okresowa zmiana hasła jest bezużyteczna.

Zatem zamiast daty ważności hasła należy podać przede wszystkim uwierzytelnianie wieloskładnikowe. Dodatkowe środki bezpieczeństwa wymieniono powyżej: listy zabronionych haseł, wykrywanie brutalnej siły i innych nietypowych prób logowania.

«Okresowe wygaśnięcie hasła to starożytny i nieaktualny środek bezpieczeństwa„, podsumowuje Microsoft, „i nie wierzymy, że istnieje jakaś konkretna wartość, którą warto zastosować do naszego podstawowego poziomu ochrony. Usuwając go z naszego punktu odniesienia, organizacje mogą wybrać to, co najlepiej odpowiada ich postrzeganym potrzebom, nie kolidując z naszymi zaleceniami.

Wniosek

Jeśli obecnie firma zmusza użytkowników do okresowej zmiany haseł, co mógłby pomyśleć zewnętrzny obserwator?

1. Biorąc pod uwagę: firma stosuje archaiczny mechanizm obronny.
2. Założenie: firma nie wdrożyła nowoczesnych mechanizmów ochronnych.
3. Wnioski: hasła te są łatwiejsze do uzyskania i użycia.

Okazuje się, że okresowa zmiana haseł sprawia, że ​​firma staje się bardziej atrakcyjnym celem ataków.

Źródło: www.habr.com