Muitos sistemas de TI têm uma regra obrigatória de alteração periódica de senhas. Este é talvez o requisito mais odiado e inútil dos sistemas de segurança. Alguns usuários simplesmente alteram o número no final como um truque para a vida.

Essa prática causou muitos transtornos. No entanto, as pessoas tiveram que suportar, porque isso por uma questão de segurança. Agora, este conselho é completamente irrelevante. Em maio de 2019, até a Microsoft finalmente removeu a exigência de alterações periódicas de senha do nível básico de requisitos de segurança para versões pessoais e de servidor do Windows 10: aqui comunicado oficial do blog com uma lista de alterações na versão Windows 10 v 1903 (observe a frase Eliminando as políticas de expiração de senha que exigem alterações periódicas de senha). As próprias regras e políticas do sistema Linha de base de segurança do Windows 10 versão 1903 e do Windows Server 2019 incluído no kit Kit de ferramentas de conformidade de segurança da Microsoft 1.0.

Você pode mostrar esses documentos aos seus superiores e dizer: os tempos mudaram. As alterações obrigatórias de senha são arcaicas, agora quase oficiais. Mesmo uma auditoria de segurança não verificará mais esse requisito (se for baseado nas regras oficiais de proteção básica de computadores Windows).


Um fragmento de uma lista com políticas básicas de segurança para Windows 10 v1809 e alterações em 1903, onde as políticas de expiração de senha correspondentes não se aplicam mais. A propósito, na nova versão, as contas de administrador e de convidado também são canceladas por padrão

A Microsoft explica em uma postagem de blog por que abandonou a regra de alteração obrigatória de senha: “A expiração periódica da senha apenas protege contra a possibilidade de a senha (ou hash) ser roubada durante sua vida útil e usada por uma pessoa não autorizada. Se a senha não for roubada, não adianta alterá-la. E se você tiver evidências de que uma senha foi roubada, obviamente você vai querer agir imediatamente, em vez de esperar até que ela expire para resolver o problema."

A Microsoft continua explicando que no ambiente atual não é apropriado proteger contra roubo de senha usando este método: “Se for sabido que uma senha provavelmente será roubada, quantos dias é um período de tempo aceitável para permitir que um ladrão usar aquela senha roubada? O valor padrão é 42 dias. Não parece um tempo ridiculamente longo? Na verdade, este é um período muito longo e, no entanto, a nossa base de referência atual foi fixada em 60 dias - e anteriormente em 90 dias - porque forçar expirações frequentes introduz os seus próprios problemas. E se a senha não for necessariamente roubada, você estará adquirindo esses problemas sem nenhum benefício. Além disso, se seus usuários estiverem dispostos a trocar uma senha por doces, nenhuma política de expiração de senha ajudará.”

Alternativa

A Microsoft escreve que suas políticas básicas de segurança se destinam ao uso por empresas bem gerenciadas e preocupadas com a segurança. Destinam-se também a fornecer orientação aos auditores. Se tal organização tiver implementado listas de senhas banidas, autenticação multifatorial, detecção de ataques de força bruta de senha e detecção de tentativas de login anômalas, será necessária a expiração periódica da senha? E se não implementarem medidas de segurança modernas, a expiração da senha os ajudará?

A lógica da Microsoft é surpreendentemente convincente. Temos duas opções:

1. A empresa implementou medidas de segurança modernas.
2. companhia não introduziu medidas de segurança modernas.

No primeiro caso, a alteração periódica da senha não traz benefícios adicionais.

No segundo caso, alterar periodicamente a senha é inútil.

Assim, em vez da data de validade da senha, você precisa usar, antes de tudo, autenticação multifator. Medidas de segurança adicionais estão listadas acima: listas de senhas proibidas, detecção de força bruta e outras tentativas de login anômalas.

«A expiração periódica da senha é uma medida de segurança antiga e desatualizada", conclui a Microsoft, "e não acreditamos que haja qualquer valor específico que valha a pena aplicar ao nosso nível de proteção básico. Ao removê-lo da nossa linha de base, as organizações podem escolher o que melhor se adapta às suas necessidades percebidas, sem entrar em conflito com as nossas recomendações.”

Jogar aviator online grátis: hack aviator funciona

Se uma empresa hoje obriga os usuários a alterarem suas senhas periodicamente, o que um observador externo poderia pensar?

1. Dado: a empresa utiliza um mecanismo de defesa arcaico.
2. Suposição: a empresa não implementou mecanismos de proteção modernos.
3. Conclusão: essas senhas são mais fáceis de obter e usar.

Acontece que a alteração periódica das senhas torna a empresa um alvo mais atraente para ataques.

Fonte: habr.com