Багато IT-системах діє обов'язкове правило періодичної зміни паролів. Це, мабуть, найненависніша і найнепотрібніша вимога систем безпеки. Деякі користувачі як лайфхак просто змінюють цифру в кінці.
Така практика викликала безліч незручностей. Однак людям доводилося терпіти, адже це заради безпеки. Тепер ця порада абсолютно не актуальна. У травні 2019 року навіть компанія Microsoft нарешті прибрала вимогу періодичної зміни паролів з базового рівня вимог безпеки для персональних та серверних версій Windows 10: ось зі списком змін до версії Windows 10 v 1903 (зверніть увагу на фразу Попадання password-expiration policies that require periodic password changes). Самі правила та системні політики Windows 10 Version 1903 and Windows Server 2019 Security Baseline внесено до комплекту .
Можете показати ці документи начальству та сказати: часи змінилися. Обов'язковою зміною паролів є архаїзм, тепер практично офіційно. Навіть аудит безпеки тепер не перевірятиме цю вимогу (якщо він орієнтується на офіційні правила з базового захисту комп'ютерів під Windows).
Фрагмент списку з базовими політиками безпеки Windows 10 v1809 та зміни у 1903, де відповідні політики за часом дії паролів уже не застосовуються. До речі, у новій версії за замовчуванням також скасовуються адміністраторський та гостьовий акаунти
Microsoft популярно пояснює в блозі, чому відмовилася від правила обов'язкової зміни пароля: «Періодичне закінчення терміну дії пароля є захистом тільки від ймовірності того, що пароль (або хеш) буде вкрадено протягом його терміну дії та використовуватиметься неавторизованою особою. Якщо пароль не вкрадено, немає сенсу його змінювати. І якщо у вас є докази того, що пароль вкрадено, ви, очевидно, захочете діяти негайно, а не чекати на закінчення терміну дії, щоб усунути проблему».
Далі Microsoft пояснює, що в сучасних умовах неправильно захищатись від крадіжки паролів таким методом: «Якщо відомо, що пароль, ймовірно, буде вкрадено, скільки днів є прийнятним періодом часу, щоб дозволити злодієві використовувати цей вкрадений пароль? Значення за замовчуванням – 42 дні. Хіба це не здається смішно довгим часом? Справді, це дуже довго, і все ж таки наш поточний базовий показник був встановлений на 60 днів — а раніше на 90 днів — тому що форсування частого закінчення вводить свої власні проблеми. І якщо пароль не обов'язково буде вкрадений, то ви набуваєте цих проблем без користі. Крім того, якщо ваші користувачі готові обміняти пароль на цукерку, жодна політика закінчення терміну дії паролів не допоможе».
Альтернатива
Microsoft пише, що її базові політики безпеки призначені для використання добре керованими підприємствами, що піклуються про безпеку. Вони також покликані служити керівництвом аудиторам. Якщо така організація впровадила списки заборонених паролів, багатофакторну автентифікацію, виявлення атак з брутфорсом паролів та виявлення аномальних спроб входу в систему, чи потрібно періодичне закінчення терміну дії пароля? А якщо вони не запровадили сучасні засоби захисту, то чи допоможе їм закінчення терміну дії пароля?
Логіка Microsoft напрочуд переконлива. У нас два варіанти:
- Компанія запровадила сучасні заходи захисту.
- Компанія НЕ запровадила сучасні заходи захисту.
У першому випадку періодична зміна пароля не дає додаткових переваг.
У другому випадку періодична зміна пароля марна.
Таким чином, замість терміну дії пароля потрібно використовувати насамперед багатофакторну автентифікацію. Додаткові заходи захисту наведені вище: списки заборонених паролів, виявлення брутфорсу та інших аномальних спроб входу до системи.
«Періодичне закінчення терміну дії пароля є давнім і застарілим заходом захисту, - підбиває підсумок Microsoft, - і ми не вважаємо, що для нашого рівня базового захисту варто застосовувати якесь конкретне значення. Видаляючи його з нашого базового рівня, організації можуть вибирати те, що найкраще відповідає їхнім передбачуваним потребам, не суперечить нашим рекомендаціям».
Висновок
Якщо компанія сьогодні змушує користувачів періодично змінювати паролі, то що може подумати сторонній спостерігач?
- дано: компанія використовує архаїчний захисний механізм.
- Припущення: компанія не запровадила сучасні захисні механізми.
- Висновок: ці паролі простіше дістати та використовувати.
Виходить, що періодична зміна паролів робить компанію більш привабливою метою для атак.
Джерело: habr.com