بہت سے IT سسٹمز میں وقتاً فوقتاً پاس ورڈ تبدیل کرنے کا ایک لازمی اصول ہوتا ہے۔ یہ شاید حفاظتی نظام کی سب سے زیادہ نفرت انگیز اور بیکار ضرورت ہے۔ کچھ صارفین صرف لائف ہیک کے طور پر آخر میں نمبر تبدیل کرتے ہیں۔
اس پریکٹس کی وجہ سے کافی تکلیف ہوئی۔ تاہم، لوگوں کو برداشت کرنا پڑا، کیونکہ یہ حفاظت کی خاطر. اب یہ مشورہ بالکل غیر متعلق ہے۔ مئی 2019 میں، حتیٰ کہ مائیکروسافٹ نے بھی ونڈوز 10 کے ذاتی اور سرور ورژنز کے لیے سیکیورٹی کی بنیادی سطح سے وقتاً فوقتاً پاس ورڈ کی تبدیلیوں کی ضرورت کو ہٹا دیا: یہاں ورژن Windows 10 v 1903 میں تبدیلیوں کی فہرست کے ساتھ (جملے کو نوٹ کریں۔ پاس ورڈ کی میعاد ختم ہونے کی پالیسیوں کو چھوڑنا جن کے لیے وقتاً فوقتاً پاس ورڈ کی تبدیلیوں کی ضرورت ہوتی ہے۔)۔ خود اصول اور نظام کی پالیسیاں ونڈوز 10 ورژن 1903 اور ونڈوز سرور 2019 سیکیورٹی بیس لائن کٹ میں شامل ہے .
آپ یہ دستاویزات اپنے اعلیٰ افسران کو دکھا سکتے ہیں اور کہہ سکتے ہیں: وقت بدل گیا ہے۔ پاس ورڈ کی لازمی تبدیلیاں قدیم ہیں، اب تقریباً سرکاری ہیں۔ یہاں تک کہ سیکیورٹی آڈٹ بھی اس ضرورت کی جانچ نہیں کرے گا (اگر یہ ونڈوز کمپیوٹرز کے بنیادی تحفظ کے سرکاری قواعد پر مبنی ہے)۔
Windows 10 v1809 کے لیے بنیادی حفاظتی پالیسیوں اور 1903 میں تبدیلیوں والی فہرست کا ایک ٹکڑا، جہاں متعلقہ پاس ورڈ کی میعاد ختم ہونے کی پالیسیاں اب لاگو نہیں ہوتی ہیں۔ ویسے، نئے ورژن میں ایڈمنسٹریٹر اور گیسٹ اکاؤنٹس بھی بطور ڈیفالٹ کینسل ہوتے ہیں۔
مائیکروسافٹ نے ایک بلاگ پوسٹ میں مشہور طور پر وضاحت کی ہے کہ اس نے پاس ورڈ کی تبدیلی کے لازمی اصول کو کیوں ترک کیا: "متواتر پاس ورڈ کی میعاد ختم ہونے سے صرف اس امکان کی حفاظت ہوتی ہے کہ پاس ورڈ (یا ہیش) اس کی زندگی کے دوران چوری ہو جائے اور اسے کوئی غیر مجاز شخص استعمال کرے۔ اگر پاس ورڈ چوری نہیں ہوا ہے تو اسے تبدیل کرنے کا کوئی فائدہ نہیں ہے۔ اور اگر آپ کے پاس اس بات کا ثبوت ہے کہ پاس ورڈ چوری ہو گیا ہے، تو آپ واضح طور پر اس مسئلے کو حل کرنے کے لیے اس کی میعاد ختم ہونے کا انتظار کرنے کے بجائے فوری طور پر کارروائی کرنا چاہیں گے۔"
مائیکروسافٹ اس بات کی وضاحت کرتا ہے کہ آج کے ماحول میں اس طریقہ کو استعمال کرتے ہوئے پاس ورڈ کی چوری سے بچنا مناسب نہیں ہے: "اگر یہ معلوم ہو کہ پاس ورڈ چوری ہونے کا امکان ہے، تو چور کو اجازت دینے کے لیے کتنے دن کا وقت ہوتا ہے؟ وہ چوری شدہ پاس ورڈ استعمال کریں؟ پہلے سے طے شدہ قدر 42 دن ہے۔ کیا یہ ایک مضحکہ خیز طویل وقت کی طرح نہیں لگتا؟ درحقیقت، یہ ایک بہت طویل وقت ہے، اور پھر بھی ہماری موجودہ بیس لائن 60 دن پر رکھی گئی تھی - اور اس سے پہلے 90 دن تھی - کیونکہ بار بار ختم ہونے پر مجبور کرنے سے اس کے اپنے مسائل پیدا ہوتے ہیں۔ اور اگر ضروری نہیں کہ پاس ورڈ چوری ہو، تو آپ ان مسائل کو بغیر کسی فائدہ کے حاصل کر رہے ہیں۔ اس کے علاوہ، اگر آپ کے صارفین کینڈی کے لیے پاس ورڈ کی تجارت کرنا چاہتے ہیں، تو پاس ورڈ ختم کرنے کی کوئی پالیسی مدد نہیں کرے گی۔
Альтернатива
مائیکروسافٹ لکھتا ہے کہ اس کی بنیادی حفاظتی پالیسیوں کا مقصد اچھی طرح سے منظم، سیکیورٹی کے بارے میں شعور رکھنے والے کاروباروں کے استعمال کے لیے ہے۔ ان کا مقصد آڈیٹرز کو رہنمائی فراہم کرنا بھی ہے۔ اگر ایسی تنظیم نے ممنوعہ پاس ورڈ کی فہرستیں، ملٹی فیکٹر توثیق، پاس ورڈ بروٹ فورس حملہ کا پتہ لگانے، اور غیر معمولی لاگ ان کوشش کا پتہ لگانے پر عمل درآمد کیا ہے، تو کیا وقتاً فوقتاً پاس ورڈ کی میعاد ختم ہونا ضروری ہے؟ اور اگر انہوں نے جدید حفاظتی اقدامات پر عمل درآمد نہیں کیا تو کیا پاس ورڈ کی میعاد ختم ہونے سے ان کی مدد ہوگی؟
مائیکروسافٹ کی منطق حیرت انگیز طور پر قائل ہے۔ ہمارے پاس دو اختیارات ہیں:
- کمپنی نے جدید حفاظتی اقدامات نافذ کیے ہیں۔
- کمپنی کے کوئی جدید حفاظتی اقدامات متعارف کرائے ہیں۔
پہلی صورت میں، وقتاً فوقتاً پاس ورڈ تبدیل کرنے سے اضافی فوائد حاصل نہیں ہوتے۔
دوسری صورت میں، وقتا فوقتا پاس ورڈ تبدیل کرنا بیکار ہے۔
اس طرح، پاس ورڈ کی میعاد ختم ہونے کی تاریخ کے بجائے، آپ کو استعمال کرنے کی ضرورت ہے، سب سے پہلے، کثیر عنصر کی توثیق. اضافی حفاظتی اقدامات اوپر درج ہیں: ممنوعہ پاس ورڈز کی فہرستیں، بریٹ فورس کا پتہ لگانا اور لاگ ان کرنے کی دوسری غیر معمولی کوششیں۔
«متواتر پاس ورڈ کی میعاد ختم ہونا ایک قدیم اور فرسودہ حفاظتی اقدام ہے۔"، مائیکروسافٹ نے نتیجہ اخذ کیا، "اور ہمیں یقین نہیں ہے کہ ہمارے بنیادی تحفظ کی سطح پر لاگو کرنے کے قابل کوئی خاص قدر ہے۔ اسے ہماری بیس لائن سے ہٹا کر، تنظیمیں ہماری سفارشات سے متصادم ہوئے بغیر اپنی سمجھی جانے والی ضروریات کے مطابق سب سے بہتر انتخاب کر سکتی ہیں۔
آؤٹ پٹ
اگر آج کوئی کمپنی صارفین کو وقتاً فوقتاً اپنا پاس ورڈ تبدیل کرنے پر مجبور کرتی ہے، تو ایک بیرونی مبصر کیا سوچ سکتا ہے؟
- دیئے گئے: کمپنی ایک قدیم دفاعی طریقہ کار استعمال کرتی ہے۔
- مفروضہ: کمپنی نے جدید حفاظتی میکانزم کو لاگو نہیں کیا ہے۔
- : اختتام یہ پاس ورڈ حاصل کرنے اور استعمال کرنے میں آسان ہیں۔
اس سے پتہ چلتا ہے کہ وقتاً فوقتاً پاس ورڈ تبدیل کرنا کمپنی کو حملوں کے لیے زیادہ پرکشش ہدف بنا دیتا ہے۔
ماخذ: www.habr.com