Maraming mga IT system ang may mandatoryong panuntunan ng pana-panahong pagpapalit ng mga password. Ito marahil ang pinakakinasusuklaman at pinakawalang silbi na pangangailangan ng mga sistema ng seguridad. Binago lang ng ilang user ang numero sa dulo bilang life hack.
Ang pagsasanay na ito ay nagdulot ng maraming abala. Gayunpaman, ang mga tao ay kailangang magtiis, dahil ito para sa kaligtasan. Ngayon ang payo na ito ay ganap na walang kaugnayan. Noong Mayo 2019, kahit na sa wakas ay tinanggal ng Microsoft ang kinakailangan para sa mga pana-panahong pagbabago ng password mula sa pangunahing antas ng mga kinakailangan sa seguridad para sa mga personal at server na bersyon ng Windows 10: dito na may listahan ng mga pagbabago sa bersyon ng Windows 10 v 1903 (tandaan ang parirala I-drop ang mga patakaran sa pag-expire ng password na nangangailangan ng pana-panahong pagbabago ng password). Ang mga patakaran mismo at mga patakaran ng system Windows 10 Bersyon 1903 at Windows Server 2019 Security Baseline kasama sa kit .
Maaari mong ipakita ang mga dokumentong ito sa iyong mga superyor at sabihin: nagbago ang mga panahon. Ang mga ipinag-uutos na pagbabago ng password ay lipas na, ngayon ay halos opisyal na. Kahit na ang isang pag-audit sa seguridad ay hindi na susuriin ang kinakailangang ito (kung ito ay batay sa mga opisyal na patakaran para sa pangunahing proteksyon ng mga Windows computer).
Isang fragment ng isang listahan na may mga pangunahing patakaran sa seguridad para sa Windows 10 v1809 at mga pagbabago noong 1903, kung saan hindi na nalalapat ang kaukulang mga patakaran sa pag-expire ng password. Sa pamamagitan ng paraan, sa bagong bersyon, ang mga account ng administrator at bisita ay kinansela din bilang default
Ipinaliwanag ng Microsoft sa isang post sa blog kung bakit inabandona nito ang mandatoryong panuntunan sa pagpapalit ng password: βPinoprotektahan lamang ang pana-panahong pag-expire ng password laban sa posibilidad na ang password (o hash) ay manakaw sa buong buhay nito at gagamitin ng isang hindi awtorisadong tao. Kung ang password ay hindi ninakaw, walang saysay na baguhin ito. At kung mayroon kang ebidensya na ninakaw ang isang password, halatang gugustuhin mong kumilos kaagad sa halip na maghintay hanggang mag-expire ito upang ayusin ang problema."
Ipinaliwanag ng Microsoft na sa kapaligiran ngayon ay hindi angkop na protektahan laban sa pagnanakaw ng password gamit ang pamamaraang ito: βKung alam na ang isang password ay malamang na manakaw, ilang araw ang isang katanggap-tanggap na tagal ng panahon upang payagan ang isang magnanakaw na gamitin ang ninakaw na password? Ang default na halaga ay 42 araw. Hindi ba parang napakatagal na panahon na iyon? Sa katunayan, ito ay isang napakahabang panahon, ngunit ang aming kasalukuyang baseline ay itinakda sa 60 araw - at dati sa 90 araw - dahil ang pagpilit sa madalas na pag-expire ay nagpapakilala ng sarili nitong mga problema. At kung ang password ay hindi kinakailangang ninakaw, pagkatapos ay nakukuha mo ang mga problemang ito nang walang pakinabang. Bukod pa rito, kung handa ang iyong mga user na ipagpalit ang isang password para sa kendi, walang patakaran sa pag-expire ng password ang makakatulong.β
alternatibong
Isinulat ng Microsoft na ang baseline na mga patakaran sa seguridad nito ay inilaan para sa paggamit ng mahusay na pinamamahalaan, mga negosyong may kamalayan sa seguridad. Ang mga ito ay nilayon din na magbigay ng gabay sa mga auditor. Kung ang naturang organisasyon ay nagpatupad ng mga naka-ban na listahan ng password, multi-factor authentication, password brute force attack detection, at maanomalyang pag-detect ng pagsubok sa pag-log in, kailangan ba ng pana-panahong pag-expire ng password? At kung hindi pa nila ipinatupad ang mga modernong hakbang sa seguridad, makakatulong ba sa kanila ang pag-expire ng password?
Ang lohika ng Microsoft ay nakakagulat na nakakumbinsi. Mayroon kaming dalawang pagpipilian:
- Ang kumpanya ay nagpatupad ng mga modernong hakbang sa seguridad.
- kompanya hindi ay nagpasimula ng mga modernong hakbang sa seguridad.
Sa unang kaso, ang pana-panahong pagbabago ng password ay hindi nagbibigay ng mga karagdagang benepisyo.
Sa pangalawang kaso, ang pana-panahong pagbabago ng password ay walang silbi.
Kaya, sa halip na ang petsa ng pag-expire ng password, kailangan mong gamitin, una sa lahat, multi-factor na pagpapatunay. Ang mga karagdagang hakbang sa seguridad ay nakalista sa itaas: mga listahan ng mga ipinagbabawal na password, pagtuklas ng brute force at iba pang maanomalyang pagsubok sa pag-login.
Β«Ang pana-panahong pag-expire ng password ay isang luma at hindi napapanahong panukalang panseguridad", pagtatapos ng Microsoft, "at hindi kami naniniwalang mayroong anumang partikular na halaga na dapat ilapat sa aming antas ng proteksyon sa baseline. Sa pamamagitan ng pag-alis nito sa aming baseline, maaaring piliin ng mga organisasyon kung ano ang pinakamahusay na nababagay sa kanilang mga nakikitang pangangailangan nang hindi sumasalungat sa aming mga rekomendasyon."
Pagbubuhos
Kung pinipilit ng isang kumpanya ngayon ang mga user na baguhin ang kanilang mga password sa pana-panahon, ano ang maaaring isipin ng isang tagamasid sa labas?
- Ibinigay: ang kumpanya ay gumagamit ng isang archaic defense mechanism.
- Pagpapalagay: ang kumpanya ay hindi nagpatupad ng mga modernong mekanismo ng proteksyon.
- Konklusyon: mas madaling makuha at gamitin ang mga password na ito.
Lumalabas na ang pana-panahong pagpapalit ng mga password ay ginagawang mas kaakit-akit na target ang kumpanya para sa mga pag-atake.
Pinagmulan: www.habr.com