Mnogi sistemi IT imajo obvezno pravilo občasnega spreminjanja gesel. To je morda najbolj osovražena in najbolj neuporabna zahteva varnostnih sistemov. Nekateri uporabniki preprosto spremenijo številko na koncu kot življenjski vdor.

Ta praksa je povzročila veliko neprijetnosti. Vendar so ljudje morali potrpeti, saj to zaradi varnosti. Zdaj je ta nasvet popolnoma nepomemben. Maja 2019 je celo Microsoft končno odstranil zahtevo po občasnih spremembah gesel iz osnovne ravni varnostnih zahtev za osebne in strežniške različice sistema Windows 10: tukaj uradna izjava na blogu s seznamom sprememb različice Windows 10 v 1903 (upoštevajte frazo Opustitev pravilnikov o poteku gesel, ki zahtevajo občasno spreminjanje gesel). Sama pravila in sistemske politike Windows 10 različica 1903 in Windows Server 2019 Varnost Baseline vključeno v kompletu Microsoft Security Compliance Toolkit 1.0.

Te dokumente lahko pokažete nadrejenim in rečete: časi so se spremenili. Obvezne spremembe gesel so arhaične, zdaj skoraj uradne. Tudi varnostna revizija ne bo več preverjala te zahteve (če temelji na uradnih pravilih za osnovno zaščito Windows računalnikov).


Delček seznama z osnovnimi varnostnimi pravilniki za Windows 10 v1809 in spremembami v 1903, kjer ustrezni pravilniki o poteku gesla ne veljajo več. Mimogrede, v novi različici so tudi skrbniški in gostujoči računi privzeto preklicani

Microsoft v objavi na spletnem dnevniku slavno pojasnjuje, zakaj je opustil pravilo obvezne spremembe gesla: »Periodični potek gesla ščiti samo pred možnostjo, da bi bilo geslo (ali zgoščena vrednost) ukradeno med njegovo življenjsko dobo in uporabljeno s strani nepooblaščene osebe. Če geslo ni ukradeno, ga nima smisla spreminjati. In če imate dokaze, da je bilo geslo ukradeno, boste očitno želeli ukrepati takoj, namesto da bi čakali, da poteče, da odpravite težavo."

Microsoft v nadaljevanju pojasnjuje, da v današnjem okolju ni primerno zaščititi se pred krajo gesel s to metodo: »Če je znano, da bo geslo verjetno ukradeno, koliko dni je sprejemljivo obdobje, v katerem lahko tat uporabiti to ukradeno geslo? Privzeta vrednost je 42 dni. Se ne zdi to smešno dolgo? To je res zelo dolgo obdobje, vendar je bilo naše trenutno izhodišče nastavljeno na 60 dni – prej pa na 90 dni –, ker vsiljevanje pogostih iztekov prinaša svoje težave. In če geslo ni nujno ukradeno, si te težave naletite brez koristi. Poleg tega, če so vaši uporabniki pripravljeni zamenjati geslo za sladkarije, noben pravilnik o poteku gesla ne bo pomagal.«

alternativa

Microsoft piše, da so njegove osnovne varnostne politike namenjene uporabi v dobro vodenih, varnostno ozaveščenih podjetjih. Namenjeni so tudi zagotavljanju smernic revizorjem. Če je taka organizacija uvedla sezname prepovedanih gesel, večfaktorsko preverjanje pristnosti, zaznavanje napadov s surovo silo gesel in zaznavanje neobičajnih poskusov prijave, ali je potrebno periodično potekanje gesla? In če niso uvedli sodobnih varnostnih ukrepov, jim bo potek gesla pomagal?

Microsoftova logika je presenetljivo prepričljiva. Imamo dve možnosti:

1. Podjetje ima uvedene sodobne varnostne ukrepe.
2. podjetje ne je uvedel sodobne varnostne ukrepe.

V prvem primeru občasno spreminjanje gesla ne prinaša dodatnih ugodnosti.

V drugem primeru je občasno spreminjanje gesla neuporabno.

Tako morate namesto datuma veljavnosti gesla najprej uporabiti večfaktorsko avtentikacijo. Dodatni varnostni ukrepi so navedeni zgoraj: seznami prepovedanih gesel, zaznavanje grobe sile in drugih nenormalnih poskusov prijave.

«Periodični potek gesla je star in zastarel varnostni ukrep«, zaključuje Microsoft, »in ne verjamemo, da obstaja kakšna posebna vrednost, ki bi jo bilo vredno uporabiti za našo osnovno raven zaščite. Če ga odstranimo iz našega izhodišča, lahko organizacije izberejo tisto, kar najbolj ustreza njihovim zaznanim potrebam, ne da bi bilo v nasprotju z našimi priporočili.«

Izhod

Če danes podjetje sili uporabnike, da redno spreminjajo svoja gesla, kaj bi si lahko mislil zunanji opazovalec?

1. Glede na: podjetje uporablja arhaičen obrambni mehanizem.
2. Predpostavka: družba nima implementiranih sodobnih zaščitnih mehanizmov.
3. Zaključek: ta gesla je lažje pridobiti in uporabljati.

Izkazalo se je, da je zaradi občasnega spreminjanja gesel podjetje privlačnejša tarča napadov.

Vir: www.habr.com