Många IT-system har en obligatorisk regel att regelbundet byta lösenord. Detta är kanske det mest hatade och mest värdelösa kravet på säkerhetssystem. Vissa användare ändrar helt enkelt numret i slutet som ett livshack.
Denna praxis orsakade mycket besvär. Men folk var tvungna att uthärda, eftersom detta för säkerhets skull. Nu är detta råd helt irrelevant. I maj 2019 tog till och med Microsoft äntligen bort kravet på periodiska lösenordsändringar från den grundläggande säkerhetsnivån för personliga och serverversioner av Windows 10: här: med en lista över ändringar av version Windows 10 v 1903 (observera frasen Ta bort policyerna för utgången av lösenordet som kräver regelbundna lösenordsändringar). Reglerna i sig och systempolicyer Windows 10 version 1903 och Windows Server 2019 säkerhetsbaslinje ingår i satsen .
Du kan visa dessa dokument för dina överordnade och säga: tiderna har förändrats. Obligatoriska lösenordsändringar är arkaiska, nu nästan officiella. Även en säkerhetsrevision kommer inte längre att kontrollera detta krav (om det är baserat på de officiella reglerna för grundläggande skydd av Windows-datorer).
Ett fragment av en lista med grundläggande säkerhetspolicyer för Windows 10 v1809 och ändringar i 1903, där motsvarande policyer för utgångsdatum för lösenord inte längre gäller. Förresten, i den nya versionen avbryts även administratörs- och gästkonton som standard
Microsoft förklarar berömt i ett blogginlägg varför man övergav regeln om obligatoriskt lösenordsbyte: "Periodisk lösenordsförfallotid skyddar endast mot möjligheten att lösenordet (eller hashen) kommer att bli stulet under dess livstid och användas av en obehörig person. Om lösenordet inte blir stulet är det ingen idé att ändra det. Och om du har bevis för att ett lösenord har stulits, vill du uppenbarligen agera omedelbart i stället för att vänta tills det går ut för att åtgärda problemet."
Microsoft fortsätter med att förklara att det i dagens miljö inte är lämpligt att skydda mot lösenordsstöld med den här metoden: "Om det är känt att ett lösenord sannolikt kommer att bli stulet, hur många dagar är en acceptabel tidsperiod för att låta en tjuv använda det stulna lösenordet? Standardvärdet är 42 dagar. Känns det inte som en löjligt lång tid? Detta är verkligen en mycket lång tid, och ändå var vår nuvarande baslinje satt till 60 dagar - och tidigare till 90 dagar - eftersom att tvinga fram frekventa utgångsdatum introducerar sina egna problem. Och om lösenordet inte nödvändigtvis är stulet, så får du dessa problem utan nytta. Dessutom, om dina användare är villiga att byta ut ett lösenord mot godis, kommer ingen policy för lösenordsförfall att hjälpa."
Альтернатива
Microsoft skriver att dess grundläggande säkerhetspolicyer är avsedda att användas av välskötta, säkerhetsmedvetna företag. De är också avsedda att ge vägledning till revisorer. Om en sådan organisation har implementerat förbjudna lösenordslistor, multifaktorautentisering, upptäckt av brute force-angrepp av lösenord och upptäckt av onormala inloggningsförsök, krävs då regelbunden lösenordsutgång? Och om de inte har implementerat moderna säkerhetsåtgärder, kommer lösenordets utgång att hjälpa dem?
Microsofts logik är förvånansvärt övertygande. Vi har två alternativ:
- Företaget har implementerat moderna säkerhetsåtgärder.
- företaget ingen har infört moderna säkerhetsåtgärder.
I det första fallet ger periodisk ändring av lösenordet inga ytterligare fördelar.
I det andra fallet är det meningslöst att regelbundet ändra lösenordet.
Således, istället för lösenordets utgångsdatum, måste du först och främst använda, multifaktorautentisering. Ytterligare säkerhetsåtgärder listas ovan: listor över förbjudna lösenord, upptäckt av brute force och andra onormala inloggningsförsök.
«Regelbundet lösenordsutgång är en gammal och föråldrad säkerhetsåtgärd", avslutar Microsoft, "och vi tror inte att det finns något specifikt värde som är värt att tillämpa på vår grundläggande skyddsnivå. Genom att ta bort det från vår baslinje kan organisationer välja det som bäst passar deras upplevda behov utan att strida mot våra rekommendationer.”
Utgång
Om ett företag idag tvingar användare att ändra sina lösenord med jämna mellanrum, vad kan en utomstående observatör tycka?
- Given: företaget använder en arkaisk försvarsmekanism.
- Antagande: företaget har inte implementerat moderna skyddsmekanismer.
- Slutsats: dessa lösenord är lättare att få och använda.
Det visar sig att regelbundet byte av lösenord gör ett företag till ett mer attraktivt mål för attacker.
Källa: will.com