ระบบไอทีหลายแห่งมีกฎบังคับในการเปลี่ยนรหัสผ่านเป็นระยะ นี่อาจเป็นข้อกำหนดของระบบรักษาความปลอดภัยที่น่ารังเกียจและไร้ประโยชน์ที่สุด ผู้ใช้บางคนเพียงแค่เปลี่ยนหมายเลขที่ท้ายเป็นแฮ็กชีวิต
การปฏิบัตินี้ทำให้เกิดความไม่สะดวกอย่างมาก แต่ผู้คนก็ต้องทนเพราะสิ่งนี้ เพื่อความปลอดภัย. ตอนนี้คำแนะนำนี้ไม่เกี่ยวข้องเลย ในเดือนพฤษภาคม 2019 ในที่สุด Microsoft ก็ยกเลิกข้อกำหนดสำหรับการเปลี่ยนรหัสผ่านเป็นระยะจากข้อกำหนดด้านความปลอดภัยขั้นพื้นฐานสำหรับ Windows 10 เวอร์ชันส่วนบุคคลและเซิร์ฟเวอร์: ที่นี่ พร้อมรายการการเปลี่ยนแปลงในเวอร์ชัน Windows 10 v 1903 (สังเกตวลี ยกเลิกนโยบายการหมดอายุของรหัสผ่านที่จำเป็นต้องเปลี่ยนรหัสผ่านเป็นระยะ). กฎเกณฑ์และนโยบายของระบบ พื้นฐานการรักษาความปลอดภัยของ Windows 10 เวอร์ชัน 1903 และ Windows Server 2019 รวมอยู่ในชุด .
คุณสามารถแสดงเอกสารเหล่านี้แก่ผู้บังคับบัญชาของคุณและพูดว่า: เวลามีการเปลี่ยนแปลง การเปลี่ยนแปลงรหัสผ่านบังคับนั้นค่อนข้างล้าสมัยและเกือบจะเป็นทางการแล้ว แม้แต่การตรวจสอบความปลอดภัยก็จะไม่ตรวจสอบข้อกำหนดนี้อีกต่อไป (หากเป็นไปตามกฎอย่างเป็นทางการสำหรับการป้องกันพื้นฐานของคอมพิวเตอร์ Windows)
ส่วนของรายการที่มีนโยบายความปลอดภัยขั้นพื้นฐานสำหรับ Windows 10 v1809 และการเปลี่ยนแปลงในปี 1903 ซึ่งนโยบายการหมดอายุของรหัสผ่านที่เกี่ยวข้องจะไม่มีผลอีกต่อไป อย่างไรก็ตาม ในเวอร์ชันใหม่ บัญชีผู้ดูแลระบบและแขกจะถูกยกเลิกตามค่าเริ่มต้นเช่นกัน
Microsoft อธิบายอย่างมีชื่อเสียงในบล็อกโพสต์ว่าทำไมจึงละทิ้งกฎการเปลี่ยนรหัสผ่านบังคับ: “การหมดอายุของรหัสผ่านเป็นระยะจะป้องกันความเป็นไปได้ที่รหัสผ่าน (หรือแฮช) จะถูกขโมยตลอดอายุการใช้งานและถูกใช้โดยบุคคลที่ไม่ได้รับอนุญาต หากรหัสผ่านไม่ถูกขโมย ก็ไม่มีประโยชน์ที่จะเปลี่ยนรหัสผ่าน และหากคุณมีหลักฐานว่ารหัสผ่านถูกขโมย คุณจะต้องดำเนินการทันที แทนที่จะรอจนกว่ารหัสผ่านจะหมดอายุเพื่อแก้ไขปัญหา"
Microsoft อธิบายต่อไปว่าในสภาพแวดล้อมปัจจุบัน การป้องกันการโจรกรรมรหัสผ่านโดยใช้วิธีนี้ไม่เหมาะสม: “หากทราบว่ารหัสผ่านมีแนวโน้มที่จะถูกขโมย จะเป็นเวลากี่วันที่ยอมรับได้ในการอนุญาตให้โจรขโมยข้อมูลได้ ใช้รหัสผ่านที่ถูกขโมยไปเหรอ? ค่าเริ่มต้นคือ 42 วัน ดูเหมือนจะไม่ยาวนานจนน่าขันใช่ไหม? อันที่จริง นี่เป็นเวลาที่ยาวนานมาก แต่พื้นฐานปัจจุบันของเราถูกกำหนดไว้ที่ 60 วัน - และก่อนหน้านี้ที่ 90 วัน - เนื่องจากการบังคับให้หมดอายุบ่อยครั้งทำให้เกิดปัญหาในตัวมันเอง และหากรหัสผ่านไม่จำเป็นต้องถูกขโมย คุณก็ประสบปัญหาเหล่านี้โดยไม่เกิดประโยชน์ นอกจากนี้ หากผู้ใช้ของคุณเต็มใจที่จะแลกเปลี่ยนรหัสผ่านกับลูกกวาด นโยบายการหมดอายุของรหัสผ่านก็ไม่สามารถช่วยอะไรได้”
ทางเลือก
Microsoft เขียนว่านโยบายความปลอดภัยพื้นฐานมีไว้สำหรับธุรกิจที่มีการจัดการที่ดีและคำนึงถึงความปลอดภัย นอกจากนี้ยังมีจุดมุ่งหมายเพื่อให้คำแนะนำแก่ผู้ตรวจสอบด้วย หากองค์กรดังกล่าวใช้รายการรหัสผ่านที่ถูกแบน การตรวจสอบสิทธิ์แบบหลายปัจจัย การตรวจจับการโจมตีด้วยรหัสผ่านแบบ Brute Force และการตรวจจับความพยายามเข้าสู่ระบบที่ผิดปกติ จำเป็นต้องหมดอายุรหัสผ่านเป็นระยะหรือไม่ และหากพวกเขาไม่ได้ใช้มาตรการรักษาความปลอดภัยที่ทันสมัย การหมดอายุของรหัสผ่านจะช่วยพวกเขาได้หรือไม่
ตรรกะของ Microsoft น่าเชื่อถืออย่างน่าประหลาดใจ เรามีสองทางเลือก:
- บริษัทได้ใช้มาตรการรักษาความปลอดภัยที่ทันสมัย
- บริษัท ไม่ ได้นำมาตรการรักษาความปลอดภัยที่ทันสมัย
ในกรณีแรก การเปลี่ยนรหัสผ่านเป็นระยะไม่ได้ให้ประโยชน์เพิ่มเติม
ในกรณีที่สอง การเปลี่ยนรหัสผ่านเป็นระยะๆ จะไม่มีประโยชน์
ดังนั้น แทนที่จะใช้วันหมดอายุของรหัสผ่าน คุณต้องใช้ก่อนอื่น การรับรองความถูกต้องแบบหลายปัจจัย. มาตรการรักษาความปลอดภัยเพิ่มเติมระบุไว้ข้างต้น: รายการรหัสผ่านที่ต้องห้าม การตรวจจับการใช้ความรุนแรง และการพยายามเข้าสู่ระบบที่ผิดปกติอื่นๆ
«การหมดอายุของรหัสผ่านเป็นระยะเป็นมาตรการรักษาความปลอดภัยที่เก่าแก่และล้าสมัย", Microsoft สรุป "และเราไม่เชื่อว่ามีมูลค่าเฉพาะใดๆ ที่คุ้มค่าที่จะนำไปใช้กับระดับการป้องกันพื้นฐานของเรา ด้วยการลบออกจากพื้นฐานของเรา องค์กรต่างๆ จะสามารถเลือกสิ่งที่เหมาะสมกับความต้องการที่ตนรับรู้ได้ดีที่สุด โดยไม่ขัดแย้งกับคำแนะนำของเรา”
เอาท์พุต
หากบริษัทในปัจจุบันบังคับให้ผู้ใช้เปลี่ยนรหัสผ่านเป็นระยะๆ ผู้สังเกตการณ์ภายนอกจะคิดอย่างไร
- ได้รับ: บริษัทใช้กลไกการป้องกันที่ล้าสมัย
- สมมติฐาน: บริษัทยังไม่ได้ใช้กลไกการป้องกันที่ทันสมัย
- สรุป: รหัสผ่านเหล่านี้สามารถรับและใช้งานได้ง่ายกว่า
ปรากฎว่าการเปลี่ยนรหัสผ่านเป็นระยะทำให้บริษัทตกเป็นเป้าหมายการโจมตีที่น่าดึงดูดยิ่งขึ้น
ที่มา: will.com