Nhiều hệ thống CNTT có quy định bắt buộc về việc thay đổi mật khẩu định kỳ. Đây có lẽ là yêu cầu đáng ghét nhất và vô ích nhất của hệ thống bảo mật. Một số người dùng chỉ cần thay đổi số ở cuối như một cách hack cuộc sống.

Thực hành này gây ra rất nhiều bất tiện. Tuy nhiên, người ta đành phải chịu đựng, vì điều này vì sự an toàn. Bây giờ lời khuyên này hoàn toàn không còn phù hợp nữa. Vào tháng 2019 năm 10, thậm chí Microsoft cuối cùng đã loại bỏ yêu cầu thay đổi mật khẩu định kỳ khỏi mức yêu cầu bảo mật cơ bản đối với phiên bản cá nhân và máy chủ của Windows XNUMX: tại đây tuyên bố blog chính thức kèm theo danh sách các thay đổi đối với phiên bản Windows 10 v 1903 (lưu ý cụm từ Bỏ chính sách hết hạn mật khẩu yêu cầu thay đổi mật khẩu định kỳ). Bản thân các quy tắc và chính sách hệ thống Cơ sở bảo mật Windows 10 phiên bản 1903 và Windows Server 2019 bao gồm trong bộ Bộ công cụ tuân thủ bảo mật của Microsoft 1.0.

Bạn có thể đưa những tài liệu này cho cấp trên và nói: thời thế đã thay đổi. Việc thay đổi mật khẩu bắt buộc đã lỗi thời, giờ gần như chính thức. Ngay cả cuộc kiểm tra bảo mật cũng sẽ không còn kiểm tra yêu cầu này nữa (nếu nó dựa trên các quy tắc chính thức về bảo vệ cơ bản cho máy tính Windows).


Một đoạn danh sách có các chính sách bảo mật cơ bản dành cho Windows 10 v1809 và những thay đổi vào năm 1903, trong đó các chính sách hết hạn mật khẩu tương ứng không còn được áp dụng. Nhân tiện, trong phiên bản mới, tài khoản quản trị viên và khách cũng bị hủy theo mặc định

Microsoft đã giải thích một cách nổi tiếng trong một bài đăng trên blog lý do tại sao họ từ bỏ quy tắc thay đổi mật khẩu bắt buộc: “Việc hết hạn mật khẩu định kỳ chỉ bảo vệ khỏi khả năng mật khẩu (hoặc hàm băm) sẽ bị đánh cắp trong suốt thời gian tồn tại của nó và bị người không được ủy quyền sử dụng. Nếu mật khẩu không bị đánh cắp thì việc thay đổi nó cũng chẳng ích gì. Và nếu bạn có bằng chứng cho thấy mật khẩu đã bị đánh cắp, rõ ràng bạn sẽ muốn hành động ngay lập tức thay vì đợi cho đến khi mật khẩu hết hạn mới khắc phục vấn đề."

Microsoft tiếp tục giải thích rằng trong môi trường ngày nay, việc bảo vệ chống trộm mật khẩu bằng phương pháp này là không phù hợp: “Nếu biết rằng một mật khẩu có khả năng bị đánh cắp thì bao nhiêu ngày là khoảng thời gian chấp nhận được để kẻ trộm có thể đánh cắp được. sử dụng mật khẩu bị đánh cắp đó? Giá trị mặc định là 42 ngày. Chẳng phải khoảng thời gian đó có vẻ dài đến nực cười sao? Thật vậy, đây là một khoảng thời gian rất dài, tuy nhiên mức cơ sở hiện tại của chúng tôi được đặt là 60 ngày - và trước đó là 90 ngày - vì việc buộc phải hết hạn thường xuyên sẽ gây ra các vấn đề riêng. Và nếu mật khẩu không nhất thiết bị đánh cắp, thì bạn đang gặp phải những vấn đề này mà không mang lại lợi ích gì. Ngoài ra, nếu người dùng của bạn sẵn sàng đổi mật khẩu lấy kẹo thì không có chính sách hết hạn mật khẩu nào có ích cả.”

luân phiên

Microsoft viết rằng các chính sách bảo mật cơ bản của họ nhằm mục đích sử dụng cho các doanh nghiệp được quản lý tốt và có ý thức bảo mật. Chúng cũng nhằm mục đích cung cấp hướng dẫn cho kiểm toán viên. Nếu một tổ chức như vậy đã triển khai danh sách mật khẩu bị cấm, xác thực đa yếu tố, phát hiện tấn công vũ phu bằng mật khẩu và phát hiện nỗ lực đăng nhập bất thường, thì có cần hết hạn mật khẩu định kỳ không? Và nếu họ chưa triển khai các biện pháp bảo mật hiện đại, liệu việc hết hạn mật khẩu có giúp ích được cho họ không?

Logic của Microsoft có sức thuyết phục đáng ngạc nhiên. Chúng tôi có hai lựa chọn:

1. Công ty đã thực hiện các biện pháp an ninh hiện đại.
2. công ty không đã đưa ra các biện pháp an ninh hiện đại.

Trong trường hợp đầu tiên, việc thay đổi mật khẩu định kỳ không mang lại lợi ích bổ sung.

Trong trường hợp thứ hai, việc thay đổi mật khẩu định kỳ là vô ích.

Vì vậy, thay vì ngày hết hạn của mật khẩu, trước hết bạn cần sử dụng xác thực đa yếu tố. Các biện pháp bảo mật bổ sung được liệt kê ở trên: danh sách mật khẩu bị cấm, phát hiện hành vi bạo lực và các nỗ lực đăng nhập bất thường khác.

«Hết hạn mật khẩu định kỳ là một biện pháp bảo mật cổ xưa và lỗi thời", Microsoft kết luận," và chúng tôi không tin rằng có bất kỳ giá trị cụ thể nào đáng áp dụng cho cấp độ bảo vệ cơ bản của chúng tôi. Bằng cách loại bỏ nó khỏi đường cơ sở của chúng tôi, các tổ chức có thể chọn những gì phù hợp nhất với nhu cầu nhận thức của họ mà không mâu thuẫn với các khuyến nghị của chúng tôi.”

Đầu ra

Nếu một công ty ngày nay buộc người dùng phải thay đổi mật khẩu định kỳ, người quan sát bên ngoài có thể nghĩ gì?

1. Được: công ty sử dụng một cơ chế phòng thủ cổ xưa.
2. Giả thiết: công ty chưa triển khai các cơ chế bảo vệ hiện đại.
3. Kết luận: những mật khẩu này dễ lấy và sử dụng hơn.

Hóa ra việc thay đổi mật khẩu định kỳ khiến công ty trở thành mục tiêu hấp dẫn hơn cho các cuộc tấn công.

Nguồn: www.habr.com