பல தகவல் தொழில்நுட்ப அமைப்புகள் அவ்வப்போது கடவுச்சொற்களை மாற்றுவதற்கான கட்டாய விதியைக் கொண்டுள்ளன. இது பாதுகாப்பு அமைப்புகளின் மிகவும் வெறுக்கப்படும் மற்றும் மிகவும் பயனற்ற தேவையாக இருக்கலாம். சில பயனர்கள் லைஃப் ஹேக் என இறுதியில் எண்ணை மாற்றுகிறார்கள்.
இந்த நடைமுறை மிகவும் சிரமத்தை ஏற்படுத்தியது. இருப்பினும், மக்கள் தாங்க வேண்டியிருந்தது, ஏனெனில் இது பாதுகாப்புக்காக. இப்போது இந்த அறிவுரை முற்றிலும் பொருத்தமற்றது. மே 2019 இல், மைக்ரோசாப்ட் கூட Windows 10 இன் தனிப்பட்ட மற்றும் சர்வர் பதிப்புகளுக்கான அடிப்படை பாதுகாப்புத் தேவைகளிலிருந்து குறிப்பிட்ட கால கடவுச்சொல் மாற்றங்களுக்கான தேவையை நீக்கியது: இங்கே விண்டோஸ் 10 v 1903 பதிப்புக்கான மாற்றங்களின் பட்டியலுடன் (சொற்றொடரைக் கவனியுங்கள் அவ்வப்போது கடவுச்சொல் மாற்றங்கள் தேவைப்படும் கடவுச்சொல் காலாவதி கொள்கைகளை கைவிடுதல்) விதிகள் மற்றும் அமைப்பு கொள்கைகள் Windows 10 பதிப்பு 1903 மற்றும் Windows Server 2019 பாதுகாப்பு அடிப்படை தொகுப்பில் சேர்க்கப்பட்டுள்ளது .
இந்த ஆவணங்களை உங்கள் மேலதிகாரிகளிடம் காட்டி இவ்வாறு கூறலாம்: காலம் மாறிவிட்டது. கட்டாய கடவுச்சொல் மாற்றங்கள் பழமையானவை, இப்போது கிட்டத்தட்ட அதிகாரப்பூர்வமானது. ஒரு பாதுகாப்பு தணிக்கை கூட இந்த தேவையை இனி சரிபார்க்காது (இது விண்டோஸ் கணினிகளின் அடிப்படை பாதுகாப்பிற்கான அதிகாரப்பூர்வ விதிகளின் அடிப்படையில் இருந்தால்).
Windows 10 v1809க்கான அடிப்படை பாதுகாப்புக் கொள்கைகள் மற்றும் 1903 இல் மாற்றங்கள் கொண்ட பட்டியலின் ஒரு பகுதி, அதனுடன் தொடர்புடைய கடவுச்சொல் காலாவதி கொள்கைகள் இனி பொருந்தாது. புதிய பதிப்பில், நிர்வாகி மற்றும் விருந்தினர் கணக்குகளும் இயல்பாகவே ரத்து செய்யப்படும்
மைக்ரோசாப்ட் ஒரு வலைப்பதிவு இடுகையில், அது ஏன் கட்டாய கடவுச்சொல் மாற்ற விதியை கைவிட்டது என்பதை பிரபலமாக விளக்குகிறது: “அந்த கால கடவுச்சொல் காலாவதியானது, கடவுச்சொல் (அல்லது ஹாஷ்) அதன் வாழ்நாளில் திருடப்பட்டு அங்கீகரிக்கப்படாத நபரால் பயன்படுத்தப்படும் சாத்தியக்கூறுகளுக்கு எதிராக மட்டுமே பாதுகாக்கிறது. கடவுச்சொல் திருடப்படாவிட்டால், அதை மாற்றுவதில் எந்த அர்த்தமும் இல்லை. கடவுச்சொல் திருடப்பட்டதற்கான ஆதாரம் உங்களிடம் இருந்தால், சிக்கலைச் சரிசெய்ய அது காலாவதியாகும் வரை காத்திருக்காமல் உடனடியாகச் செயல்பட வேண்டும்."
இன்றைய சூழலில் இந்த முறையைப் பயன்படுத்தி பாஸ்வேர்டு திருடப்படாமல் பாதுகாப்பது பொருத்தமானதல்ல என்று மைக்ரோசாப்ட் தொடர்ந்து விளக்குகிறது: “கடவுச்சொல் திருடப்பட வாய்ப்புள்ளது என்று தெரிந்தால், திருடனை அனுமதிப்பது எத்தனை நாட்கள் ஏற்கத்தக்கது. திருடப்பட்ட கடவுச்சொல்லை பயன்படுத்தவா? இயல்புநிலை மதிப்பு 42 நாட்கள். இது அபத்தமான நீண்ட காலமாகத் தெரியவில்லையா? உண்மையில், இது மிக நீண்ட காலமாகும், ஆனால் எங்கள் தற்போதைய அடிப்படையானது 60 நாட்களாகவும் - முன்பு 90 நாட்களாகவும் அமைக்கப்பட்டது - ஏனெனில் அடிக்கடி காலாவதியை கட்டாயப்படுத்துவது அதன் சொந்த சிக்கல்களை அறிமுகப்படுத்துகிறது. கடவுச்சொல் திருடப்பட வேண்டிய அவசியமில்லை என்றால், எந்தப் பயனும் இல்லாமல் இந்தச் சிக்கல்களைப் பெறுகிறீர்கள். தவிர, உங்கள் பயனர்கள் மிட்டாய்க்கான கடவுச்சொல்லை வர்த்தகம் செய்ய விரும்பினால், கடவுச்சொல் காலாவதி கொள்கை எதுவும் உதவாது.
மாற்று
மைக்ரோசாப்ட் அதன் அடிப்படை பாதுகாப்புக் கொள்கைகள் நன்கு நிர்வகிக்கப்பட்ட, பாதுகாப்பு உணர்வுள்ள வணிகங்களால் பயன்படுத்தப்பட வேண்டும் என்று எழுதுகிறது. அவை தணிக்கையாளர்களுக்கு வழிகாட்டுதலை வழங்கவும் நோக்கமாக உள்ளன. அத்தகைய அமைப்பு தடைசெய்யப்பட்ட கடவுச்சொல் பட்டியல்கள், பல காரணி அங்கீகாரம், கடவுச்சொல் ப்ரூட் ஃபோர்ஸ் தாக்குதல் கண்டறிதல் மற்றும் முரண்பாடான உள்நுழைவு முயற்சி கண்டறிதல் ஆகியவற்றை செயல்படுத்தியிருந்தால், குறிப்பிட்ட கால கடவுச்சொல் காலாவதி தேவையா? மேலும் அவர்கள் நவீன பாதுகாப்பு நடவடிக்கைகளை செயல்படுத்தவில்லை என்றால், கடவுச்சொல் காலாவதி அவர்களுக்கு உதவுமா?
மைக்ரோசாப்டின் தர்க்கம் வியக்கத்தக்க வகையில் உறுதியானது. எங்களுக்கு இரண்டு விருப்பங்கள் உள்ளன:
- நிறுவனம் நவீன பாதுகாப்பு நடவடிக்கைகளை செயல்படுத்தியுள்ளது.
- நிறுவனம் இல்லை நவீன பாதுகாப்பு நடவடிக்கைகளை அறிமுகப்படுத்தியுள்ளது.
முதல் வழக்கில், கடவுச்சொல்லை அவ்வப்போது மாற்றுவது கூடுதல் நன்மைகளை வழங்காது.
இரண்டாவது வழக்கில், கடவுச்சொல்லை அவ்வப்போது மாற்றுவது பயனற்றது.
எனவே, கடவுச்சொல் காலாவதி தேதிக்கு பதிலாக, நீங்கள் முதலில் பயன்படுத்த வேண்டும், பல காரணி அங்கீகாரம். கூடுதல் பாதுகாப்பு நடவடிக்கைகள் மேலே பட்டியலிடப்பட்டுள்ளன: தடைசெய்யப்பட்ட கடவுச்சொற்களின் பட்டியல்கள், முரட்டு சக்தியைக் கண்டறிதல் மற்றும் பிற முரண்பாடான உள்நுழைவு முயற்சிகள்.
«காலாவதியான கடவுச்சொல் காலாவதியானது ஒரு பழமையான மற்றும் காலாவதியான பாதுகாப்பு நடவடிக்கையாகும்", மைக்ரோசாப்ட் முடிவடைகிறது, "மேலும் எங்கள் அடிப்படை பாதுகாப்பு நிலைக்கு விண்ணப்பிக்கத் தகுந்த குறிப்பிட்ட மதிப்பு எதுவும் இருப்பதாக நாங்கள் நம்பவில்லை. எங்கள் அடிப்படையிலிருந்து அதை அகற்றுவதன் மூலம், எங்கள் பரிந்துரைகளுடன் முரண்படாமல் நிறுவனங்கள் தங்களின் உணரப்பட்ட தேவைகளுக்கு மிகவும் பொருத்தமானதைத் தேர்ந்தெடுக்கலாம்.
முடிவுக்கு
இன்று ஒரு நிறுவனம் பயனர்கள் தங்கள் கடவுச்சொற்களை அவ்வப்போது மாற்றும்படி கட்டாயப்படுத்தினால், வெளிப்புற பார்வையாளர் என்ன நினைக்கலாம்?
- கொடுக்கப்பட்ட: நிறுவனம் ஒரு தொன்மையான பாதுகாப்பு பொறிமுறையைப் பயன்படுத்துகிறது.
- அனுமானம்: நிறுவனம் நவீன பாதுகாப்பு வழிமுறைகளை செயல்படுத்தவில்லை.
- முடிவுக்கு: இந்த கடவுச்சொற்களை பெறவும் பயன்படுத்தவும் எளிதானது.
கடவுச்சொற்களை அவ்வப்போது மாற்றுவது ஒரு நிறுவனத்தை தாக்குதலுக்கு மிகவும் கவர்ச்சிகரமான இலக்காக மாற்றுகிறது.
ஆதாரம்: www.habr.com