Mifumo mingi ya IT ina sheria ya lazima ya kubadilisha nywila mara kwa mara. Hili labda ndilo hitaji linalochukiwa zaidi na lisilofaa zaidi la mifumo ya usalama. Watumiaji wengine hubadilisha nambari mwishoni kama utapeli wa maisha.
Zoezi hili lilileta usumbufu mwingi. Walakini, watu walilazimika kuvumilia, kwa sababu hii kwa ajili ya usalama. Sasa ushauri huu haufai kabisa. Mnamo Mei 2019, hata Microsoft hatimaye iliondoa hitaji la mabadiliko ya nenosiri mara kwa mara kutoka kwa kiwango cha msingi cha mahitaji ya usalama kwa matoleo ya kibinafsi na ya seva ya Windows 10: hapa na orodha ya mabadiliko ya toleo la Windows 10 v 1903 (kumbuka kifungu Kuacha sera za kuisha muda wa nenosiri zinazohitaji mabadiliko ya mara kwa mara ya nenosiri) Sheria zenyewe na sera za mfumo Windows 10 Toleo la 1903 na Msingi wa Usalama wa Windows Server 2019 imejumuishwa kwenye kit .
Unaweza kuonyesha hati hizi kwa wakuu wako na kusema: nyakati zimebadilika. Mabadiliko ya nenosiri ya lazima ni ya kizamani, sasa karibu rasmi. Hata ukaguzi wa usalama hautaangalia tena hitaji hili (ikiwa linategemea sheria rasmi za ulinzi wa msingi wa kompyuta za Windows).
Kipande cha orodha kilicho na sera za kimsingi za usalama za Windows 10 v1809 na mabadiliko katika 1903, ambapo sera zinazolingana za kumalizika kwa muda wa nenosiri hazitumiki tena. Kwa njia, katika toleo jipya, akaunti za msimamizi na wageni pia zimefutwa kwa default
Microsoft inaeleza kwa umaarufu katika chapisho la blogu kwa nini iliacha sheria ya lazima ya kubadilisha nenosiri: βKuisha kwa muda wa nenosiri mara kwa mara hulinda tu dhidi ya uwezekano kwamba nenosiri (au heshi) litaibiwa wakati wa uhai wake na kutumiwa na mtu ambaye hajaidhinishwa. Ikiwa nenosiri halijaibiwa, hakuna maana katika kuibadilisha. Na ikiwa una ushahidi kwamba nenosiri limeibiwa, bila shaka utataka kuchukua hatua mara moja badala ya kusubiri hadi muda wake utakapoisha ili kurekebisha tatizo."
Microsoft inaendelea kueleza kuwa katika mazingira ya sasa haifai kujilinda dhidi ya wizi wa nenosiri kwa kutumia njia hii: βIkiwa inajulikana kuwa nenosiri linaweza kuibiwa, ni siku ngapi ni kipindi cha muda kinachokubalika kuruhusu mwizi kuibiwa. unatumia neno la siri lililoibiwa? Thamani chaguo-msingi ni siku 42. Je, hiyo haionekani kama muda mrefu wa kijinga? Hakika, hii ni muda mrefu sana, na bado msingi wetu wa sasa uliwekwa kwa siku 60 - na hapo awali kwa siku 90 - kwa sababu kulazimisha kumalizika kwa muda mara kwa mara huleta matatizo yake mwenyewe. Na ikiwa nenosiri sio lazima kuibiwa, basi unapata matatizo haya bila faida. Kando na hilo, ikiwa watumiaji wako wako tayari kubadilisha nenosiri kwa pipi, hakuna sera ya kumalizika kwa muda wa nenosiri itasaidia.
Mbadala
Microsoft inaandika kwamba sera zake za msingi za usalama zinakusudiwa kutumiwa na biashara zinazosimamiwa vyema na zinazojali usalama. Pia zimekusudiwa kutoa mwongozo kwa wakaguzi. Ikiwa shirika kama hilo limetekeleza orodha za nenosiri zilizopigwa marufuku, uthibitishaji wa vipengele vingi, ugunduzi wa shambulio la kutumia nenosiri lisilo na kifani, na ugunduzi wa jaribio la kuingia kwa njia isiyo ya kawaida, je, muda wa matumizi ya nenosiri unapaswa kuisha mara kwa mara? Na ikiwa hawajatekeleza hatua za kisasa za usalama, je, kuisha muda wa nywila kutawasaidia?
Mantiki ya Microsoft inashawishi kwa kushangaza. Tuna chaguzi mbili:
- Kampuni imetekeleza hatua za kisasa za usalama.
- kampuni hakuna imeanzisha hatua za kisasa za usalama.
Katika kesi ya kwanza, kubadilisha nenosiri mara kwa mara haitoi faida za ziada.
Katika kesi ya pili, mara kwa mara kubadilisha nenosiri ni bure.
Kwa hivyo, badala ya tarehe ya kumalizika kwa nenosiri, unahitaji kutumia, kwanza kabisa, uthibitishaji wa mambo mengi. Hatua za ziada za usalama zimeorodheshwa hapo juu: orodha za manenosiri yaliyopigwa marufuku, kugundua nguvu za kinyama na majaribio mengine yasiyo ya kawaida ya kuingia.
Β«Kuisha kwa nenosiri mara kwa mara ni hatua ya zamani na ya zamani ya usalama", Microsoft inahitimisha, "na hatuamini kuwa kuna thamani yoyote mahususi inayostahili kutumika kwa kiwango chetu cha msingi cha ulinzi. Kwa kuiondoa kutoka kwa msingi wetu, mashirika yanaweza kuchagua kile kinachofaa zaidi mahitaji yao yanayofikiriwa bila kupingana na mapendekezo yetu.
Pato
Ikiwa kampuni leo inawalazimisha watumiaji kubadilisha nywila zao mara kwa mara, mwangalizi wa nje anaweza kufikiria nini?
- Imetolewa: kampuni hutumia utaratibu wa ulinzi wa kizamani.
- Dhana: kampuni haijatekeleza mifumo ya kisasa ya ulinzi.
- Hitimisho: nywila hizi ni rahisi kupata na kutumia.
Inabadilika kuwa kubadilisha nenosiri mara kwa mara hufanya kampuni kuwa lengo la kuvutia zaidi la mashambulizi.
Chanzo: mapenzi.com