Mnoho IT systémov má povinné pravidlo pravidelnej zmeny hesiel. Toto je možno najnenávidenejšia a najzbytočnejšia požiadavka bezpečnostných systémov. Niektorí používatelia jednoducho zmenia číslo na konci ako životný hack.

Táto prax spôsobila veľa nepríjemností. Ľudia však museli vydržať, lebo toto kvôli bezpečnosti. Teraz je táto rada úplne irelevantná. V máji 2019 dokonca Microsoft konečne odstránil požiadavku na pravidelné zmeny hesla zo základnej úrovne bezpečnostných požiadaviek pre osobné a serverové verzie Windows 10: tu oficiálne vyhlásenie na blogu so zoznamom zmien verzie Windows 10 v 1903 (všimnite si frázu Zrušenie politík uplynutia platnosti hesla, ktoré vyžadujú pravidelné zmeny hesla). Samotné pravidlá a systémové politiky Windows 10 Verzia 1903 a Windows Server 2019 Baseline zabezpečenia súčasťou súpravy Microsoft Security Compliance Toolkit 1.0.

Tieto dokumenty môžete ukázať svojim nadriadeným a povedať: časy sa zmenili. Povinné zmeny hesla sú archaické, dnes už takmer oficiálne. Túto požiadavku už nepreverí ani bezpečnostný audit (ak vychádza z oficiálnych pravidiel základnej ochrany počítačov so systémom Windows).


Fragment zoznamu so základnými bezpečnostnými politikami pre Windows 10 v1809 a zmenami v roku 1903, kde už neplatia príslušné pravidlá uplynutia platnosti hesla. Mimochodom, v novej verzii sú štandardne zrušené aj účty správcu a hosťa

Microsoft v blogovom príspevku slávne vysvetľuje, prečo upustil od pravidla povinnej zmeny hesla: „Pravidelné uplynutie platnosti hesla chráni iba pred možnosťou, že heslo (alebo hash) bude počas jeho životnosti odcudzené a použité neoprávnenou osobou. Ak heslo nie je ukradnuté, nemá zmysel ho meniť. A ak máte dôkaz o tom, že heslo bolo ukradnuté, zrejme budete chcieť konať okamžite, než čakať, kým vyprší jeho platnosť, aby ste problém vyriešili.“

Microsoft ďalej vysvetľuje, že v dnešnom prostredí nie je vhodné chrániť sa pred krádežou hesla touto metódou: „Ak je známe, že je pravdepodobné, že heslo bude odcudzené, koľko dní je prijateľná lehota na to, aby zlodej mohol použiť to ukradnuté heslo? Predvolená hodnota je 42 dní. Nezdá sa vám to ako smiešne dlhá doba? V skutočnosti je to veľmi dlhá doba, a predsa bola naša súčasná základná hodnota nastavená na 60 dní – a predtým na 90 dní – pretože vynucovanie si častých expirácií prináša svoje vlastné problémy. A ak heslo nie je nevyhnutne ukradnuté, potom tieto problémy získavate bez úžitku. Okrem toho, ak sú vaši používatelia ochotní vymeniť heslo za sladkosti, nepomôže vám žiadna politika uplynutia platnosti hesla.“

alternatívne

Microsoft píše, že jeho základné bezpečnostné zásady sú určené na použitie v dobre spravovaných podnikoch, ktoré si uvedomujú bezpečnosť. Sú určené aj na to, aby poskytovali poradenstvo audítorom. Ak takáto organizácia zaviedla zoznamy zakázaných hesiel, viacfaktorovú autentifikáciu, detekciu útoku hrubou silou pomocou hesla a detekciu anomálneho pokusu o prihlásenie, vyžaduje sa periodické uplynutie platnosti hesla? A ak nezaviedli moderné bezpečnostné opatrenia, pomôže im vypršanie platnosti hesla?

Logika Microsoftu je prekvapivo presvedčivá. Máme dve možnosti:

1. Spoločnosť zaviedla moderné bezpečnostné opatrenia.
2. spoločnosť nie zaviedla moderné bezpečnostné opatrenia.

V prvom prípade pravidelná zmena hesla neposkytuje ďalšie výhody.

V druhom prípade je pravidelná zmena hesla zbytočná.

Preto namiesto dátumu vypršania platnosti hesla musíte najprv použiť viacfaktorové overenie. Ďalšie bezpečnostné opatrenia sú uvedené vyššie: zoznamy zakázaných hesiel, detekcia hrubej sily a iné anomálne pokusy o prihlásenie.

«Pravidelné uplynutie platnosti hesla je staré a zastarané bezpečnostné opatrenie“, uzatvára Microsoft, „a nemyslíme si, že existuje nejaká konkrétna hodnota, ktorá by sa oplatila aplikovať na našu základnú úroveň ochrany. Odstránením z našej základnej línie si organizácie môžu vybrať, čo najlepšie vyhovuje ich vnímaným potrebám bez toho, aby boli v rozpore s našimi odporúčaniami.“

Výkon

Ak dnes spoločnosť núti používateľov pravidelne meniť svoje heslá, čo si môže myslieť vonkajší pozorovateľ?

1. Vzhľadom na to: spoločnosť využíva archaický obranný mechanizmus.
2. Predpoklad: spoločnosť nemá zavedené moderné ochranné mechanizmy.
3. Záver: tieto heslá sa ľahšie získavajú a používajú.

Ukazuje sa, že pravidelná zmena hesiel robí spoločnosť atraktívnejším cieľom útokov.

Zdroj: hab.com