ระบบไอทีหลายแห่งมีกฎบังคับในการเปลี่ยนรหัสผ่านเป็นระยะ นี่อาจเป็นข้อกำหนดของระบบรักษาความปลอดภัยที่น่ารังเกียจและไร้ประโยชน์ที่สุด ผู้ใช้บางคนเพียงแค่เปลี่ยนหมายเลขที่ท้ายเป็นแฮ็กชีวิต
การปฏิบัตินี้ทำให้เกิดความไม่สะดวกอย่างมาก แต่ผู้คนก็ต้องทนเพราะสิ่งนี้ เพื่อความปลอดภัย. Теперь этот совет совершенно не актуален. В мае 2019 года даже компания Microsoft наконец-то убрала требование периодической смены паролей из базового уровня требований безопасности для персональных и серверных версий Windows 10: вот со списком изменений к версии Windows 10 v 1903 (обратите внимание на фразу ยกเลิกนโยบายการหมดอายุของรหัสผ่านที่จำเป็นต้องเปลี่ยนรหัสผ่านเป็นระยะ). กฎเกณฑ์และนโยบายของระบบ Windows 10 เวอร์ชัน 1903 และ Windows Server 2019 Security Baseline รวมอยู่ในชุด .
Можете показать эти документы начальству и сказать: времена изменились. Обязательная смена паролей — архаизм, теперь практически официально. Даже аудит безопасности теперь не будет проверять это требование (если он ориентируется на официальные правила по базовой защите компьютеров под Windows).
Фрагмент списка с базовыми политиками безопасности Windows 10 v1809 и изменения в 1903, где соответствующие политики по времени действия паролей уже не применяются. Кстати, в новой версии по умолчанию также отменяются администраторский и гостевой аккаунты
Microsoft อธิบายอย่างมีชื่อเสียงในบล็อกโพสต์ว่าทำไมจึงละทิ้งกฎการเปลี่ยนรหัสผ่านบังคับ: “การหมดอายุของรหัสผ่านเป็นระยะจะป้องกันความเป็นไปได้ที่รหัสผ่าน (หรือแฮช) จะถูกขโมยตลอดอายุการใช้งานและถูกใช้โดยบุคคลที่ไม่ได้รับอนุญาต หากรหัสผ่านไม่ถูกขโมย ก็ไม่มีประโยชน์ที่จะเปลี่ยนรหัสผ่าน และหากคุณมีหลักฐานว่ารหัสผ่านถูกขโมย คุณจะต้องดำเนินการทันที แทนที่จะรอจนกว่ารหัสผ่านจะหมดอายุเพื่อแก้ไขปัญหา"
Microsoft อธิบายต่อไปว่าในสภาพแวดล้อมปัจจุบัน การป้องกันการโจรกรรมรหัสผ่านโดยใช้วิธีนี้ไม่เหมาะสม: “หากทราบว่ารหัสผ่านมีแนวโน้มที่จะถูกขโมย จะเป็นเวลากี่วันที่ยอมรับได้ในการอนุญาตให้โจรขโมยข้อมูลได้ ใช้รหัสผ่านที่ถูกขโมยไปเหรอ? ค่าเริ่มต้นคือ 42 วัน ดูเหมือนจะไม่ยาวนานจนน่าขันใช่ไหม? อันที่จริง นี่เป็นเวลาที่ยาวนานมาก แต่พื้นฐานปัจจุบันของเราถูกกำหนดไว้ที่ 60 วัน - และก่อนหน้านี้ที่ 90 วัน - เนื่องจากการบังคับให้หมดอายุบ่อยครั้งทำให้เกิดปัญหาในตัวมันเอง และหากรหัสผ่านไม่จำเป็นต้องถูกขโมย คุณก็ประสบปัญหาเหล่านี้โดยไม่เกิดประโยชน์ นอกจากนี้ หากผู้ใช้ของคุณเต็มใจที่จะแลกเปลี่ยนรหัสผ่านกับลูกกวาด นโยบายการหมดอายุของรหัสผ่านก็ไม่สามารถช่วยอะไรได้”
ทางเลือก
Microsoft เขียนว่านโยบายความปลอดภัยพื้นฐานมีไว้สำหรับธุรกิจที่มีการจัดการที่ดีและคำนึงถึงความปลอดภัย นอกจากนี้ยังมีจุดมุ่งหมายเพื่อให้คำแนะนำแก่ผู้ตรวจสอบด้วย หากองค์กรดังกล่าวใช้รายการรหัสผ่านที่ถูกแบน การตรวจสอบสิทธิ์แบบหลายปัจจัย การตรวจจับการโจมตีด้วยรหัสผ่านแบบ Brute Force และการตรวจจับความพยายามเข้าสู่ระบบที่ผิดปกติ จำเป็นต้องหมดอายุรหัสผ่านเป็นระยะหรือไม่ และหากพวกเขาไม่ได้ใช้มาตรการรักษาความปลอดภัยที่ทันสมัย การหมดอายุของรหัสผ่านจะช่วยพวกเขาได้หรือไม่
ตรรกะของ Microsoft น่าเชื่อถืออย่างน่าประหลาดใจ เรามีสองทางเลือก:
- บริษัทได้ใช้มาตรการรักษาความปลอดภัยที่ทันสมัย
- บริษัท ไม่ ได้นำมาตรการรักษาความปลอดภัยที่ทันสมัย
ในกรณีแรก การเปลี่ยนรหัสผ่านเป็นระยะไม่ได้ให้ประโยชน์เพิ่มเติม
ในกรณีที่สอง การเปลี่ยนรหัสผ่านเป็นระยะๆ จะไม่มีประโยชน์
ดังนั้น แทนที่จะใช้วันหมดอายุของรหัสผ่าน คุณต้องใช้ก่อนอื่น การรับรองความถูกต้องแบบหลายปัจจัย. มาตรการรักษาความปลอดภัยเพิ่มเติมระบุไว้ข้างต้น: รายการรหัสผ่านที่ต้องห้าม การตรวจจับการใช้ความรุนแรง และการพยายามเข้าสู่ระบบที่ผิดปกติอื่นๆ
«การหมดอายุของรหัสผ่านเป็นระยะเป็นมาตรการรักษาความปลอดภัยที่เก่าแก่และล้าสมัย", Microsoft สรุป "และเราไม่เชื่อว่ามีมูลค่าเฉพาะใดๆ ที่คุ้มค่าที่จะนำไปใช้กับระดับการป้องกันพื้นฐานของเรา ด้วยการลบออกจากพื้นฐานของเรา องค์กรต่างๆ จะสามารถเลือกสิ่งที่เหมาะสมกับความต้องการที่ตนรับรู้ได้ดีที่สุด โดยไม่ขัดแย้งกับคำแนะนำของเรา”
เอาท์พุต
หากบริษัทในปัจจุบันบังคับให้ผู้ใช้เปลี่ยนรหัสผ่านเป็นระยะๆ ผู้สังเกตการณ์ภายนอกจะคิดอย่างไร
- ได้รับ: บริษัทใช้กลไกการป้องกันที่ล้าสมัย
- สมมติฐาน: บริษัทยังไม่ได้ใช้กลไกการป้องกันที่ทันสมัย
- สรุป: รหัสผ่านเหล่านี้สามารถรับและใช้งานได้ง่ายกว่า
ปรากฎว่าการเปลี่ยนรหัสผ่านเป็นระยะทำให้บริษัทตกเป็นเป้าหมายการโจมตีที่น่าดึงดูดยิ่งขึ้น
ที่มา: will.com
