许多IT系统都有定期更改密码的强制性规则。 这也许是安全系统中最令人讨厌和最无用的要求。 有些用户只是简单地更改最后的数字作为生活窍门。
这种做法造成了很多不便。 然而,人们却不得不忍受,因为这 为了安全起见。 现在这个建议完全无关紧要了。 2019 年 10 月,就连微软也最终从个人版和服务器版 Windows XNUMX 的基本安全要求中删除了定期更改密码的要求:此处 包含对 Windows 10 v 1903 版本的更改列表(请注意短语 放弃需要定期更改密码的密码过期策略)。 规则本身和系统政策 Windows 10 版本 1903 和 Windows Server 2019 安全基线 包含在套件中 .
你可以把这些文件给你的上级看,然后说:时代变了。 强制密码更改已经过时,现在几乎是正式的。 即使是安全审核也不再检查此要求(如果它是基于 Windows 计算机基本保护的官方规则)。
包含 Windows 10 v1809 基本安全策略和 1903 年更改的列表片段,其中相应的密码过期策略不再适用。 顺便说一下,新版本中,管理员和来宾账户也默认取消了
微软在一篇博客文章中解释了为什么它放弃强制密码更改规则:“定期密码过期只能防止密码(或哈希值)在其生命周期内被盗并被未经授权的人使用的可能性。 如果密码没有被盗,则更改密码没有意义。 如果您有证据表明密码已被盗,您显然会希望立即采取行动,而不是等到密码过期才解决问题。”
微软接着解释说,在当今的环境下,使用这种方法来防止密码被盗是不合适的:“如果知道密码可能被盗,那么允许窃贼在多少天的时间内进行盗取是可以接受的。”使用被盗的密码? 默认值为 42 天。 这不是看起来很长一段时间吗? 事实上,这是一个非常长的时间,但我们当前的基准设置为 60 天(之前为 90 天),因为强制频繁到期会带来自身的问题。 如果密码不一定被盗,那么您遇到这些问题就没有任何好处。 此外,如果你的用户愿意用密码换糖果,任何密码过期政策都无济于事。”
另类
微软写道,其基准安全策略旨在供管理良好、具有安全意识的企业使用。 它们还旨在为审计师提供指导。 如果这样的组织实施了禁止密码列表、多重身份验证、密码暴力攻击检测和异常登录尝试检测,是否需要定期密码过期? 如果他们没有实施现代安全措施,密码过期会对他们有帮助吗?
微软的逻辑令人惊讶地令人信服。 我们有两个选择:
- 公司实施了现代化的安全措施。
- 公司 没有 引入了现代安全措施。
在第一种情况下,定期更改密码不会带来额外的好处。
对于第二种情况,定期更改密码是没有用的。
因此,您首先需要使用,而不是密码到期日期, 多重身份验证。 上面列出了其他安全措施:禁止密码列表、暴力破解和其他异常登录尝试检测。
«定期密码过期是一种古老且过时的安全措施”,微软总结道,“我们认为没有任何具体价值值得应用于我们的基准保护级别。 通过将其从我们的基线中删除,组织可以选择最适合其感知需求的内容,而不会与我们的建议相冲突。”
结论
如果今天一家公司强迫用户定期更改密码,外部观察者会怎么想?
- 给定: 该公司使用一种古老的防御机制。
- 假设: 该公司尚未实施现代化的保护机制。
- 结论: 这些密码更容易获取和使用。
事实证明,定期更改密码会使公司成为更有吸引力的攻击目标。
来源: habr.com