అనేక IT వ్యవస్థలు క్రమానుగతంగా పాస్వర్డ్లను మార్చాలనే తప్పనిసరి నియమాన్ని కలిగి ఉన్నాయి. ఇది బహుశా భద్రతా వ్యవస్థల యొక్క అత్యంత అసహ్యించుకునే మరియు అత్యంత పనికిరాని అవసరం. కొంతమంది వినియోగదారులు లైఫ్ హ్యాక్గా చివర నంబర్ను మార్చుకుంటారు.
ఈ అభ్యాసం చాలా అసౌకర్యాన్ని కలిగించింది. అయినప్పటికీ, ప్రజలు భరించవలసి వచ్చింది, ఎందుకంటే ఇది భద్రత కొరకు. ఇప్పుడు ఈ సలహా పూర్తిగా అసంబద్ధం. మే 2019లో, మైక్రోసాఫ్ట్ కూడా Windows 10 యొక్క వ్యక్తిగత మరియు సర్వర్ వెర్షన్ల కోసం ప్రాథమిక స్థాయి భద్రతా అవసరాల నుండి ఆవర్తన పాస్వర్డ్ మార్పుల అవసరాన్ని చివరకు తొలగించింది: ఇక్కడ సంస్కరణ Windows 10 v 1903కి మార్పుల జాబితాతో (పదబంధాన్ని గమనించండి కాలానుగుణ పాస్వర్డ్ మార్పులు అవసరమయ్యే పాస్వర్డ్-గడువు విధానాలను వదిలివేయడం) నియమాలు మరియు సిస్టమ్ విధానాలు Windows 10 వెర్షన్ 1903 మరియు Windows సర్వర్ 2019 సెక్యూరిటీ బేస్లైన్ కిట్లో చేర్చబడింది .
మీరు ఈ పత్రాలను మీ ఉన్నతాధికారులకు చూపించి ఇలా చెప్పవచ్చు: కాలం మారాయి. తప్పనిసరి పాస్వర్డ్ మార్పులు పురాతనమైనవి, ఇప్పుడు దాదాపు అధికారికం. భద్రతా ఆడిట్ కూడా ఇకపై ఈ అవసరాన్ని తనిఖీ చేయదు (ఇది Windows కంప్యూటర్ల ప్రాథమిక రక్షణ కోసం అధికారిక నియమాల ఆధారంగా ఉంటే).
Windows 10 v1809 కోసం ప్రాథమిక భద్రతా విధానాలతో జాబితా యొక్క భాగం మరియు 1903లో మార్పులు, సంబంధిత పాస్వర్డ్ గడువు విధానాలు ఇకపై వర్తించవు. మార్గం ద్వారా, కొత్త సంస్కరణలో, నిర్వాహకుడు మరియు అతిథి ఖాతాలు కూడా డిఫాల్ట్గా రద్దు చేయబడతాయి
మైక్రోసాఫ్ట్ తప్పనిసరిగా పాస్వర్డ్ మార్పు నియమాన్ని ఎందుకు విడిచిపెట్టిందో బ్లాగ్ పోస్ట్లో ప్రముఖంగా వివరిస్తుంది: “ఆవర్తన పాస్వర్డ్ గడువు దాని జీవితకాలంలో పాస్వర్డ్ (లేదా హాష్) దొంగిలించబడే మరియు అనధికార వ్యక్తి ద్వారా ఉపయోగించబడే అవకాశం నుండి మాత్రమే రక్షిస్తుంది. పాస్వర్డ్ దొంగిలించబడకపోతే, దానిని మార్చడంలో అర్థం లేదు. పాస్వర్డ్ దొంగిలించబడిందని మీ వద్ద సాక్ష్యం ఉంటే, సమస్యను పరిష్కరించడానికి మీరు దాని గడువు ముగిసే వరకు వేచి ఉండకుండా వెంటనే చర్య తీసుకోవాలనుకుంటున్నారు."
నేటి వాతావరణంలో ఈ పద్ధతిని ఉపయోగించి పాస్వర్డ్ దొంగతనం నుండి రక్షించడం సరికాదని మైక్రోసాఫ్ట్ వివరిస్తుంది: “పాస్వర్డ్ దొంగిలించబడే అవకాశం ఉందని తెలిస్తే, దొంగను అనుమతించడానికి ఎన్ని రోజులు ఆమోదయోగ్యమైన సమయం ఆ దొంగిలించబడిన పాస్వర్డ్ను ఉపయోగించాలా? డిఫాల్ట్ విలువ 42 రోజులు. ఇది హాస్యాస్పదంగా ఎక్కువ కాలం అనిపించడం లేదా? నిజానికి, ఇది చాలా సుదీర్ఘ సమయం, ఇంకా మా ప్రస్తుత బేస్లైన్ 60 రోజులకు సెట్ చేయబడింది - మరియు ఇంతకుముందు 90 రోజులు - ఎందుకంటే తరచుగా గడువు విధించడం దాని స్వంత సమస్యలను పరిచయం చేస్తుంది. మరియు పాస్వర్డ్ తప్పనిసరిగా దొంగిలించబడకపోతే, మీరు ఎటువంటి ప్రయోజనం లేకుండా ఈ సమస్యలను పొందుతున్నారు. అంతేకాకుండా, మీ వినియోగదారులు మిఠాయి కోసం పాస్వర్డ్ను వ్యాపారం చేయడానికి సిద్ధంగా ఉంటే, పాస్వర్డ్ గడువు ముగిసే విధానం ఏదీ సహాయం చేయదు.
Альтернатива
మైక్రోసాఫ్ట్ దాని బేస్లైన్ భద్రతా విధానాలు బాగా నిర్వహించబడే, భద్రతా స్పృహతో కూడిన వ్యాపారాల కోసం ఉద్దేశించబడ్డాయి. వారు ఆడిటర్లకు మార్గదర్శకత్వం అందించడానికి కూడా ఉద్దేశించబడ్డారు. అటువంటి సంస్థ నిషేధిత పాస్వర్డ్ జాబితాలు, బహుళ-కారకాల ప్రామాణీకరణ, పాస్వర్డ్ బ్రూట్ ఫోర్స్ అటాక్ డిటెక్షన్ మరియు క్రమరహిత లాగిన్ అటెంప్ట్ డిటెక్షన్ని అమలు చేసినట్లయితే, ఆవర్తన పాస్వర్డ్ గడువు అవసరమా? మరియు వారు ఆధునిక భద్రతా చర్యలను అమలు చేయకుంటే, పాస్వర్డ్ గడువు వారికి సహాయపడుతుందా?
మైక్రోసాఫ్ట్ యొక్క తర్కం ఆశ్చర్యకరంగా నమ్మదగినది. మాకు రెండు ఎంపికలు ఉన్నాయి:
- కంపెనీ ఆధునిక భద్రతా చర్యలను అమలు చేసింది.
- సంస్థ కాదు ఆధునిక భద్రతా చర్యలను ప్రవేశపెట్టింది.
మొదటి సందర్భంలో, క్రమానుగతంగా పాస్వర్డ్ను మార్చడం అదనపు ప్రయోజనాలను అందించదు.
రెండవ సందర్భంలో, క్రమానుగతంగా పాస్వర్డ్ను మార్చడం పనికిరానిది.
అందువలన, పాస్వర్డ్ గడువు తేదీకి బదులుగా, మీరు మొదట ఉపయోగించాలి, బహుళ-కారకాల ప్రమాణీకరణ. అదనపు భద్రతా చర్యలు పైన జాబితా చేయబడ్డాయి: నిషేధించబడిన పాస్వర్డ్ల జాబితాలు, బ్రూట్ ఫోర్స్ను గుర్తించడం మరియు ఇతర క్రమరహిత లాగిన్ ప్రయత్నాలు.
«కాలానుగుణ పాస్వర్డ్ గడువు అనేది పురాతనమైన మరియు కాలం చెల్లిన భద్రతా ప్రమాణం", మైక్రోసాఫ్ట్ ముగించింది, "మరియు మా బేస్లైన్ రక్షణ స్థాయికి వర్తించే నిర్దిష్ట విలువ ఏదైనా ఉందని మేము నమ్మము. మా బేస్లైన్ నుండి దీన్ని తీసివేయడం ద్వారా, సంస్థలు మా సిఫార్సులతో విభేదించకుండా వారి గ్రహించిన అవసరాలకు ఏది సరిపోతుందో ఎంచుకోవచ్చు."
తీర్మానం
ఈరోజు ఒక కంపెనీ తమ పాస్వర్డ్లను కాలానుగుణంగా మార్చుకోమని వినియోగదారులను బలవంతం చేస్తే, బయటి పరిశీలకుడు ఏమనుకోవచ్చు?
- May: సంస్థ పురాతన రక్షణ యంత్రాంగాన్ని ఉపయోగిస్తుంది.
- ఊహ: కంపెనీ ఆధునిక రక్షణ విధానాలను అమలు చేయలేదు.
- తీర్మానం: ఈ పాస్వర్డ్లను పొందడం మరియు ఉపయోగించడం సులభం.
క్రమానుగతంగా పాస్వర్డ్లను మార్చడం వల్ల కంపెనీ దాడులకు మరింత ఆకర్షణీయమైన లక్ష్యంగా మారుతుంది.
మూలం: www.habr.com