Çoğu BT sisteminin, parolaların periyodik olarak değiştirilmesine ilişkin zorunlu bir kuralı vardır. Bu belki de güvenlik sistemlerinin en nefret edilen ve en işe yaramaz gereksinimidir. Bazı kullanıcılar, hayat kesmek için sondaki sayıyı değiştirir.
Bu uygulama pek çok rahatsızlığa neden oldu. Ancak insanlar katlanmak zorundaydı çünkü bu güvenlik uğruna. Şimdi bu tavsiye tamamen alakasız. Mayıs 2019'da Microsoft bile nihayet Windows 10'un kişisel ve sunucu sürümleri için temel güvenlik gereksinimleri düzeyinden periyodik parola değişikliği gereksinimini kaldırdı: burada Windows 10 v 1903 sürümündeki değişikliklerin bir listesiyle birlikte (ifadeye dikkat edin) Periyodik şifre değişiklikleri gerektiren şifre geçerlilik sonu ilkelerini kaldırmak). Kuralların kendisi ve sistem politikaları Windows 10 Sürüm 1903 ve Windows Server 2019 Güvenlik Temeli kit içerisinde yer almaktadır .
Bu belgeleri üstlerinize gösterip, devir değişti diyebilirsiniz. Zorunlu şifre değişiklikleri artık eski, neredeyse resmi. Bir güvenlik denetimi bile artık bu gereksinimi kontrol etmeyecektir (eğer Windows bilgisayarların temel korumasına ilişkin resmi kurallara dayanıyorsa).
Windows 10 v1809 için temel güvenlik ilkelerini ve 1903'teki değişiklikleri içeren, ilgili parola geçerlilik sonu ilkelerinin artık geçerli olmadığı listenin bir parçası. Bu arada yeni sürümde yönetici ve misafir hesapları da varsayılan olarak iptal ediliyor
Microsoft, bir blog yazısında zorunlu şifre değiştirme kuralını neden terk ettiğini ünlü bir şekilde açıklıyor: "Parolanın periyodik olarak sona ermesi, yalnızca şifrenin (veya karmanın) kullanım ömrü boyunca çalınması ve yetkisiz bir kişi tarafından kullanılması olasılığına karşı koruma sağlar. Şifre çalınmadıysa değiştirmenin bir anlamı yok. Ve eğer bir şifrenin çalındığına dair kanıtınız varsa, sorunu çözmek için şifrenin süresinin dolmasını beklemek yerine hemen harekete geçmek isteyeceksiniz."
Microsoft, günümüz ortamında bu yöntemle şifre hırsızlığına karşı koruma sağlamanın uygun olmadığını şöyle açıklıyor: “Bir şifrenin çalınma ihtimali biliniyorsa, bir hırsızın şifreyi çalmasına izin vermek için kaç gün kabul edilebilir bir süredir? Çalınan şifreyi mi kullanacaksın? Varsayılan değer 42 gündür. Bu gülünç derecede uzun bir süre gibi görünmüyor mu? Aslına bakılırsa bu çok uzun bir süre ve yine de mevcut temel çizgimiz 60 gün olarak (daha önce 90 gün olarak) belirlenmişti, çünkü sık sık vade sonu zorlamak kendi sorunlarını da beraberinde getiriyor. Ve şifrenin mutlaka çalınması gerekmiyorsa, bu sorunları hiçbir fayda sağlamadan ediniyorsunuz demektir. Ayrıca, kullanıcılarınız şifrelerini şekerle takas etmeye istekliyse, hiçbir şifre geçerlilik süresi politikasının da faydası olmaz."
Alternatif
Microsoft, temel güvenlik politikalarının iyi yönetilen, güvenlik bilincine sahip işletmelerin kullanımına yönelik olduğunu yazıyor. Ayrıca denetçilere rehberlik sağlamayı da amaçlamaktadır. Böyle bir kuruluş, yasaklı parola listeleri, çok faktörlü kimlik doğrulama, parola kaba kuvvet saldırısı algılama ve anormal oturum açma girişimi algılamayı uyguladıysa, parola süresinin periyodik olarak sona ermesi gerekli midir? Modern güvenlik önlemlerini uygulamaya koymamışlarsa şifre süresinin sona ermesi onlara yardımcı olacak mı?
Microsoft'un mantığı şaşırtıcı derecede ikna edicidir. İki seçeneğimiz var:
- Şirket modern güvenlik önlemlerini uygulamaya koydu.
- şirket hayır modern güvenlik önlemlerini uygulamaya koydu.
İlk durumda, şifrenin periyodik olarak değiştirilmesi ek fayda sağlamaz.
İkinci durumda, şifreyi periyodik olarak değiştirmek işe yaramaz.
Bu nedenle, şifrenin son kullanma tarihi yerine öncelikle şunu kullanmanız gerekir: çok faktörlü kimlik doğrulama. Ek güvenlik önlemleri yukarıda listelenmiştir: yasaklanmış şifrelerin listesi, kaba kuvvetin tespiti ve diğer anormal oturum açma girişimleri.
«Periyodik şifre süresinin dolması eski ve güncelliğini yitirmiş bir güvenlik önlemidirMicrosoft şu sonuca varıyor: "Temel koruma düzeyimiz için kullanmaya değer herhangi bir özel değer olduğuna inanmıyoruz. Bunu temel çizgimizden çıkararak kuruluşlar, önerilerimizle çelişmeden algılanan ihtiyaçlarına en uygun olanı seçebilirler."
Aviator apk
Bugün bir şirket, kullanıcılarını periyodik olarak şifrelerini değiştirmeye zorluyorsa dışarıdan bir gözlemci ne düşünebilir?
- Verilen: şirket eski bir savunma mekanizması kullanıyor.
- varsayım: şirket modern koruyucu mekanizmaları uygulamamıştır.
- Sonuç: bu şifrelerin edinilmesi ve kullanılması daha kolaydır.
Parolaların periyodik olarak değiştirilmesinin, bir şirketi saldırılar için daha çekici bir hedef haline getirdiği ortaya çıktı.
Kaynak: habr.com