Multe sisteme IT au o regulă obligatorie de schimbare periodică a parolelor. Aceasta este poate cea mai urâtă și cea mai inutilă cerință a sistemelor de securitate. Unii utilizatori pur și simplu schimbă numărul de la sfârșit ca un hack de viață.

Această practică a cauzat multe neplăceri. Cu toate acestea, oamenii au trebuit să îndure, pentru că asta de dragul siguranței. Acum acest sfat este complet irelevant. În mai 2019, chiar și Microsoft a eliminat în cele din urmă cerința privind modificările periodice ale parolei de la nivelul de bază al cerințelor de securitate pentru versiunile personale și de server ale Windows 10: aici declarație oficială pe blog cu o listă de modificări la versiunea Windows 10 v 1903 (rețineți expresia Eliminarea politicilor de expirare a parolelor care necesită modificări periodice ale parolei). Regulile în sine și politicile sistemului Windows 10 Versiunea 1903 și Windows Server 2019 Security Baseline incluse în kit Microsoft Security Compliance Toolkit 1.0.

Puteți arăta aceste documente superiorilor și să spuneți: vremurile s-au schimbat. Modificările obligatorii ale parolei sunt arhaice, acum aproape oficiale. Nici măcar un audit de securitate nu va mai verifica această cerință (dacă se bazează pe regulile oficiale pentru protecția de bază a computerelor Windows).


Un fragment dintr-o listă cu politici de securitate de bază pentru Windows 10 v1809 și modificări în 1903, unde politicile corespunzătoare de expirare a parolelor nu se mai aplică. Apropo, în noua versiune, conturile de administrator și oaspeți sunt și ele anulate implicit

Microsoft explică celebru într-o postare pe blog de ce a abandonat regula obligatorie de schimbare a parolei: „Expirarea periodică a parolei protejează doar împotriva posibilității ca parola (sau hash) să fie furată pe durata de viață și utilizată de o persoană neautorizată. Dacă parola nu este furată, nu are rost să o schimbi. Și dacă aveți dovezi că o parolă a fost furată, evident că veți dori să acționați imediat, mai degrabă decât să așteptați până când expiră pentru a remedia problema."

Microsoft continuă să explice că în mediul actual nu este adecvat să se protejeze împotriva furtului de parole folosind această metodă: „Dacă se știe că o parolă este probabil să fie furată, câte zile este o perioadă acceptabilă de timp pentru a permite unui hoț să folosești acea parolă furată? Valoarea implicită este de 42 de zile. Nu vi se pare o perioadă ridicol de lungă? Într-adevăr, acesta este un timp foarte lung și, totuși, valoarea noastră de bază actuală a fost stabilită la 60 de zile - și anterior la 90 de zile - deoarece forțarea expirărilor frecvente introduce propriile probleme. Și dacă parola nu este neapărat furată, atunci întâmpinați aceste probleme fără niciun beneficiu. În plus, dacă utilizatorii tăi sunt dispuși să schimbe o parolă cu bomboane, nicio politică de expirare a parolei nu va ajuta.”

alternativă

Microsoft scrie că politicile sale de securitate de bază sunt destinate utilizării de către companii bine gestionate, conștiente de securitate. Ele sunt, de asemenea, menite să ofere îndrumări auditorilor. Dacă o astfel de organizație a implementat liste de parole interzise, ​​autentificare cu mai mulți factori, detectarea atacurilor cu forță brută prin parolă și detectarea încercărilor anormale de conectare, este necesară expirarea periodică a parolei? Și dacă nu au implementat măsuri moderne de securitate, îi va ajuta expirarea parolei?

Logica Microsoft este surprinzător de convingătoare. Avem două opțiuni:

1. Compania a implementat măsuri moderne de securitate.
2. companie nu a introdus măsuri moderne de securitate.

În primul caz, schimbarea periodică a parolei nu oferă beneficii suplimentare.

În al doilea caz, schimbarea periodică a parolei este inutilă.

Astfel, în locul datei de expirare a parolei, trebuie să utilizați, în primul rând, autentificare multifactor. Măsuri de securitate suplimentare sunt enumerate mai sus: liste de parole interzise, ​​detectarea forței brute și alte încercări anormale de conectare.

«Expirarea periodică a parolei este o măsură de securitate veche și depășită„, conchide Microsoft, „și nu credem că există vreo valoare specifică care merită aplicată nivelului nostru de protecție de bază. Îndepărtându-l din baza noastră, organizațiile pot alege ceea ce se potrivește cel mai bine nevoilor lor percepute, fără a intra în conflict cu recomandările noastre.”

Producție

Dacă astăzi o companie obligă utilizatorii să-și schimbe parolele periodic, ce ar putea crede un observator din afară?

1. Dat: compania foloseşte un mecanism de apărare arhaic.
2. Presupunere: firma nu a implementat mecanisme moderne de protectie.
3. Concluzie: aceste parole sunt mai ușor de obținut și de utilizat.

Se pare că schimbarea periodică a parolelor face din companie o țintă mai atractivă pentru atacuri.

Sursa: www.habr.com