అనేక IT వ్యవస్థలు క్రమానుగతంగా పాస్వర్డ్లను మార్చాలనే తప్పనిసరి నియమాన్ని కలిగి ఉన్నాయి. ఇది బహుశా భద్రతా వ్యవస్థల యొక్క అత్యంత అసహ్యించుకునే మరియు అత్యంత పనికిరాని అవసరం. కొంతమంది వినియోగదారులు లైఫ్ హ్యాక్గా చివర నంబర్ను మార్చుకుంటారు.
ఈ అభ్యాసం చాలా అసౌకర్యాన్ని కలిగించింది. అయినప్పటికీ, ప్రజలు భరించవలసి వచ్చింది, ఎందుకంటే ఇది భద్రత కొరకు. ఇప్పుడు ఈ సలహా పూర్తిగా అసంబద్ధం. మే 2019లో, మైక్రోసాఫ్ట్ కూడా Windows 10 యొక్క వ్యక్తిగత మరియు సర్వర్ వెర్షన్ల కోసం ప్రాథమిక స్థాయి భద్రతా అవసరాల నుండి ఆవర్తన పాస్వర్డ్ మార్పుల అవసరాన్ని చివరకు తొలగించింది: ఇక్కడ
మీరు ఈ పత్రాలను మీ ఉన్నతాధికారులకు చూపించి ఇలా చెప్పవచ్చు: కాలం మారాయి. తప్పనిసరి పాస్వర్డ్ మార్పులు పురాతనమైనవి, ఇప్పుడు దాదాపు అధికారికం. భద్రతా ఆడిట్ కూడా ఇకపై ఈ అవసరాన్ని తనిఖీ చేయదు (ఇది Windows కంప్యూటర్ల ప్రాథమిక రక్షణ కోసం అధికారిక నియమాల ఆధారంగా ఉంటే).
Windows 10 v1809 కోసం ప్రాథమిక భద్రతా విధానాలతో జాబితా యొక్క భాగం మరియు 1903లో మార్పులు, సంబంధిత పాస్వర్డ్ గడువు విధానాలు ఇకపై వర్తించవు. మార్గం ద్వారా, కొత్త సంస్కరణలో, నిర్వాహకుడు మరియు అతిథి ఖాతాలు కూడా డిఫాల్ట్గా రద్దు చేయబడతాయి
మైక్రోసాఫ్ట్ తప్పనిసరిగా పాస్వర్డ్ మార్పు నియమాన్ని ఎందుకు విడిచిపెట్టిందో బ్లాగ్ పోస్ట్లో ప్రముఖంగా వివరిస్తుంది: “ఆవర్తన పాస్వర్డ్ గడువు దాని జీవితకాలంలో పాస్వర్డ్ (లేదా హాష్) దొంగిలించబడే మరియు అనధికార వ్యక్తి ద్వారా ఉపయోగించబడే అవకాశం నుండి మాత్రమే రక్షిస్తుంది. పాస్వర్డ్ దొంగిలించబడకపోతే, దానిని మార్చడంలో అర్థం లేదు. పాస్వర్డ్ దొంగిలించబడిందని మీ వద్ద సాక్ష్యం ఉంటే, సమస్యను పరిష్కరించడానికి మీరు దాని గడువు ముగిసే వరకు వేచి ఉండకుండా వెంటనే చర్య తీసుకోవాలనుకుంటున్నారు."
నేటి వాతావరణంలో ఈ పద్ధతిని ఉపయోగించి పాస్వర్డ్ దొంగతనం నుండి రక్షించడం సరికాదని మైక్రోసాఫ్ట్ వివరిస్తుంది: “పాస్వర్డ్ దొంగిలించబడే అవకాశం ఉందని తెలిస్తే, దొంగను అనుమతించడానికి ఎన్ని రోజులు ఆమోదయోగ్యమైన సమయం ఆ దొంగిలించబడిన పాస్వర్డ్ను ఉపయోగించాలా? డిఫాల్ట్ విలువ 42 రోజులు. ఇది హాస్యాస్పదంగా ఎక్కువ కాలం అనిపించడం లేదా? నిజానికి, ఇది చాలా సుదీర్ఘ సమయం, ఇంకా మా ప్రస్తుత బేస్లైన్ 60 రోజులకు సెట్ చేయబడింది - మరియు ఇంతకుముందు 90 రోజులు - ఎందుకంటే తరచుగా గడువు విధించడం దాని స్వంత సమస్యలను పరిచయం చేస్తుంది. మరియు పాస్వర్డ్ తప్పనిసరిగా దొంగిలించబడకపోతే, మీరు ఎటువంటి ప్రయోజనం లేకుండా ఈ సమస్యలను పొందుతున్నారు. అంతేకాకుండా, మీ వినియోగదారులు మిఠాయి కోసం పాస్వర్డ్ను వ్యాపారం చేయడానికి సిద్ధంగా ఉంటే, పాస్వర్డ్ గడువు ముగిసే విధానం ఏదీ సహాయం చేయదు.
Альтернатива
మైక్రోసాఫ్ట్ దాని బేస్లైన్ భద్రతా విధానాలు బాగా నిర్వహించబడే, భద్రతా స్పృహతో కూడిన వ్యాపారాల కోసం ఉద్దేశించబడ్డాయి. వారు ఆడిటర్లకు మార్గదర్శకత్వం అందించడానికి కూడా ఉద్దేశించబడ్డారు. అటువంటి సంస్థ నిషేధిత పాస్వర్డ్ జాబితాలు, బహుళ-కారకాల ప్రామాణీకరణ, పాస్వర్డ్ బ్రూట్ ఫోర్స్ అటాక్ డిటెక్షన్ మరియు క్రమరహిత లాగిన్ అటెంప్ట్ డిటెక్షన్ని అమలు చేసినట్లయితే, ఆవర్తన పాస్వర్డ్ గడువు అవసరమా? మరియు వారు ఆధునిక భద్రతా చర్యలను అమలు చేయకుంటే, పాస్వర్డ్ గడువు వారికి సహాయపడుతుందా?
మైక్రోసాఫ్ట్ యొక్క తర్కం ఆశ్చర్యకరంగా నమ్మదగినది. మాకు రెండు ఎంపికలు ఉన్నాయి:
- కంపెనీ ఆధునిక భద్రతా చర్యలను అమలు చేసింది.
- సంస్థ కాదు ఆధునిక భద్రతా చర్యలను ప్రవేశపెట్టింది.
మొదటి సందర్భంలో, క్రమానుగతంగా పాస్వర్డ్ను మార్చడం అదనపు ప్రయోజనాలను అందించదు.
రెండవ సందర్భంలో, క్రమానుగతంగా పాస్వర్డ్ను మార్చడం పనికిరానిది.
అందువలన, పాస్వర్డ్ గడువు తేదీకి బదులుగా, మీరు మొదట ఉపయోగించాలి, బహుళ-కారకాల ప్రమాణీకరణ. అదనపు భద్రతా చర్యలు పైన జాబితా చేయబడ్డాయి: నిషేధించబడిన పాస్వర్డ్ల జాబితాలు, బ్రూట్ ఫోర్స్ను గుర్తించడం మరియు ఇతర క్రమరహిత లాగిన్ ప్రయత్నాలు.
«కాలానుగుణ పాస్వర్డ్ గడువు అనేది పురాతనమైన మరియు కాలం చెల్లిన భద్రతా ప్రమాణం", మైక్రోసాఫ్ట్ ముగించింది, "మరియు మా బేస్లైన్ రక్షణ స్థాయికి వర్తించే నిర్దిష్ట విలువ ఏదైనా ఉందని మేము నమ్మము. మా బేస్లైన్ నుండి దీన్ని తీసివేయడం ద్వారా, సంస్థలు మా సిఫార్సులతో విభేదించకుండా వారి గ్రహించిన అవసరాలకు ఏది సరిపోతుందో ఎంచుకోవచ్చు."
తీర్మానం
ఈరోజు ఒక కంపెనీ తమ పాస్వర్డ్లను కాలానుగుణంగా మార్చుకోమని వినియోగదారులను బలవంతం చేస్తే, బయటి పరిశీలకుడు ఏమనుకోవచ్చు?
- May: సంస్థ పురాతన రక్షణ యంత్రాంగాన్ని ఉపయోగిస్తుంది.
- ఊహ: కంపెనీ ఆధునిక రక్షణ విధానాలను అమలు చేయలేదు.
- తీర్మానం: ఈ పాస్వర్డ్లను పొందడం మరియు ఉపయోగించడం సులభం.
క్రమానుగతంగా పాస్వర్డ్లను మార్చడం వల్ల కంపెనీ దాడులకు మరింత ఆకర్షణీయమైన లక్ష్యంగా మారుతుంది.
మూలం: www.habr.com