ProHoster > Blog > administratë > Ndryshimi periodik i fjalëkalimeve është një praktikë e vjetëruar, është koha ta braktisni atë

Ndryshimi periodik i fjalëkalimeve është një praktikë e vjetëruar, është koha ta braktisni atë

Shumë sisteme IT kanë një rregull të detyrueshëm të ndryshimit periodik të fjalëkalimeve. Kjo është ndoshta kërkesa më e urryer dhe më e padobishme e sistemeve të sigurisë. Disa përdorues thjesht e ndryshojnë numrin në fund si një hak jetësor.

Kjo praktikë shkaktoi shumë bezdi. Megjithatë, njerëzit duhej të duronin, sepse kjo për hir të sigurisë. Tani kjo këshillë është krejtësisht e parëndësishme. Në maj 2019, edhe Microsoft më në fund hoqi kërkesën për ndryshime periodike të fjalëkalimit nga niveli bazë i kërkesave të sigurisë për versionet personale dhe të serverit të Windows 10: këtu deklaratë zyrtare në blog me një listë ndryshimesh në versionin Windows 10 v 1903 (vini re frazën Heqja e politikave të skadimit të fjalëkalimit që kërkojnë ndryshime periodike të fjalëkalimit). Vetë rregullat dhe politikat e sistemit Windows 10 Versioni 1903 dhe Windows Server 2019 Baza e Sigurisë të përfshira në komplet Microsoft Security Compliance Toolkit 1.0.

Ju mund t'ua tregoni këto dokumente eprorëve tuaj dhe të thoni: kohët kanë ndryshuar. Ndryshimet e detyrueshme të fjalëkalimit janë arkaike, tashmë pothuajse zyrtare. Edhe një kontroll sigurie nuk do ta kontrollojë më këtë kërkesë (nëse bazohet në rregullat zyrtare për mbrojtjen bazë të kompjuterëve Windows).

Ndryshimi periodik i fjalëkalimeve është një praktikë e vjetëruar, është koha ta braktisni atë
Një fragment i një liste me politikat bazë të sigurisë për Windows 10 v1809 dhe ndryshimet në 1903, ku nuk zbatohen më politikat përkatëse të skadimit të fjalëkalimit. Nga rruga, në versionin e ri, llogaritë e administratorit dhe të ftuarit gjithashtu anulohen si parazgjedhje

Microsoft shpjegon në mënyrë të famshme në një postim në blog pse braktisi rregullin e ndryshimit të detyrueshëm të fjalëkalimit: “Skadimi periodik i fjalëkalimit mbron vetëm nga mundësia që fjalëkalimi (ose hash) të vidhet gjatë jetës së tij dhe të përdoret nga një person i paautorizuar. Nëse fjalëkalimi nuk është vjedhur, nuk ka kuptim ta ndryshoni atë. Dhe nëse keni prova se një fjalëkalim është vjedhur, padyshim që do të dëshironi të veproni menjëherë në vend që të prisni derisa të skadojë për të rregulluar problemin."

Microsoft vazhdon duke shpjeguar se në mjedisin e sotëm nuk është e përshtatshme të mbrohet nga vjedhja e fjalëkalimit duke përdorur këtë metodë: “Nëse dihet se një fjalëkalim ka gjasa të vidhet, sa ditë është një periudhë e pranueshme kohore për të lejuar një hajdut të përdorni atë fjalëkalim të vjedhur? Vlera e paracaktuar është 42 ditë. A nuk duket si një kohë qesharake e gjatë? Në të vërtetë, kjo është një kohë shumë e gjatë, dhe megjithatë baza jonë aktuale ishte vendosur në 60 ditë - dhe më parë në 90 ditë - sepse detyrimi i skadimeve të shpeshta sjell problemet e veta. Dhe nëse fjalëkalimi nuk është domosdoshmërisht i vjedhur, atëherë ju po i merrni këto probleme pa asnjë përfitim. Përveç kësaj, nëse përdoruesit tuaj janë të gatshëm të shkëmbejnë një fjalëkalim për ëmbëlsirat, asnjë politikë e skadimit të fjalëkalimit nuk do të ndihmojë.”

alternativë

Microsoft shkruan se politikat e tij bazë të sigurisë janë të destinuara për përdorim nga biznese të mirëmenaxhuara dhe të ndërgjegjshme për sigurinë. Ato synojnë gjithashtu të ofrojnë udhëzime për audituesit. Nëse një organizatë e tillë ka zbatuar listat e fjalëkalimeve të ndaluara, vërtetimin me shumë faktorë, zbulimin e sulmit me forcë brutale të fjalëkalimit dhe zbulimin e përpjekjeve anormale të hyrjes, a kërkohet skadimi periodik i fjalëkalimit? Dhe nëse nuk kanë zbatuar masa moderne sigurie, a do t'i ndihmojë skadimi i fjalëkalimit?

Logjika e Microsoft-it është çuditërisht bindëse. Kemi dy opsione:

  1. Kompania ka zbatuar masa moderne sigurie.
  2. kompani jo ka futur masa moderne sigurie.

Në rastin e parë, ndryshimi periodik i fjalëkalimit nuk ofron përfitime shtesë.

Në rastin e dytë, ndryshimi periodik i fjalëkalimit është i padobishëm.

Kështu, në vend të datës së skadimit të fjalëkalimit, duhet të përdorni, para së gjithash, vërtetimi me shumë faktorë. Masat shtesë të sigurisë janë renditur më lart: listat e fjalëkalimeve të ndaluara, zbulimi i forcës brutale dhe përpjekje të tjera anormale për hyrje.

«Skadimi periodik i fjalëkalimit është një masë sigurie e vjetër dhe e vjetëruar", përfundon Microsoft, "dhe ne nuk besojmë se ka ndonjë vlerë specifike që ia vlen të zbatohet për nivelin tonë të mbrojtjes bazë. Duke e hequr atë nga baza jonë, organizatat mund të zgjedhin atë që i përshtatet më mirë nevojave të tyre të perceptuara pa kundërshtuar rekomandimet tona.”

Prodhim

Nëse një kompani sot i detyron përdoruesit të ndryshojnë periodikisht fjalëkalimet e tyre, çfarë mund të mendojë një vëzhgues i jashtëm?

  1. duke pasur parasysh: kompania përdor një mekanizëm mbrojtës arkaik.
  2. supozimi: kompania nuk ka zbatuar mekanizma moderne mbrojtëse.
  3. Përfundim: këto fjalëkalime janë më të lehta për t'u marrë dhe përdorur.

Rezulton se ndryshimi periodik i fjalëkalimeve e bën një kompani një objektiv më tërheqës për sulme.

Ndryshimi periodik i fjalëkalimeve është një praktikë e vjetëruar, është koha ta braktisni atë


Burimi: www.habr.com

Shto një koment