許多IT系統都有定期更改密碼的強制性規則。這也許是安全系統中最令人討厭、最無用的要求。有些用戶只是簡單地更改最後的數字作為生活小技巧。
這種做法造成了很多不便。然而,人們卻不得不忍受,因為這 為了安全起見。現在這個建議完全無關緊要了。 2019 年 10 月,就連微軟也最終從個人版和伺服器版 Windows XNUMX 的基本安全要求中刪除了定期更改密碼的要求:此處 包含 Windows 10 v 1903 版本的變更清單(請注意短語 放棄需要定期更改密碼的密碼過期策略)。規則本身和系統政策 Windows 10 版本 1903 與 Windows Server 2019 安全性基線 包含在套件中 .
你可以把這些文件給你的上級看,然後說:時代變了。強制密碼更改已經過時,現在幾乎是正式的。即使是安全審核也不再檢查此要求(如果它是基於 Windows 電腦基本保護的官方規則)。
包含 Windows 10 v1809 基本安全性原則和 1903 年變更的清單片段,其中對應的密碼過期原則不再適用。順便說一下,新版本中,管理員和來賓帳戶也預設取消了
微軟在一篇部落格文章中解釋了為什麼它放棄強制密碼更改規則:「定期密碼過期只能防止密碼(或雜湊值)在其生命週期內被盜並被未經授權的人使用的可能性。如果密碼沒有被盜,則更改密碼沒有意義。如果您有證據表明密碼已被盜,您顯然會希望立即採取行動,而不是等到密碼過期才解決問題。”
微軟接著解釋說,在當今的環境下,使用這種方法來防止密碼被盜是不合適的:「如果知道密碼可能被盜,那麼允許竊賊在多少天的時間內進行盜取是可以接受的。 ”使用被盜的密碼?預設值為 42 天。這不是看起來很長一段時間嗎?事實上,這是一個非常長的時間,但我們目前的基準設定為 60 天(之前為 90 天),因為強制頻繁到期會帶來自身的問題。如果密碼不一定被盜,那麼您遇到這些問題就沒有任何好處。此外,如果你的用戶願意用密碼換糖果,任何密碼過期政策都無濟於事。”
替代
微軟寫道,其基準安全策略旨在供管理良好、具有安全意識的企業使用。它們還旨在為審計師提供指導。如果這樣的組織實施了禁止密碼清單、多重驗證、密碼暴力攻擊偵測和異常登入嘗試偵測,是否需要定期密碼過期?如果他們沒有實施現代安全措施,密碼過期會對他們有幫助嗎?
微軟的邏輯令人驚訝地令人信服。我們有兩個選擇:
- 公司實施了現代化的安全措施。
- 公司 沒有 引入了現代安全措施。
在第一種情況下,定期更改密碼不會帶來額外的好處。
對於第二種情況,定期更改密碼是沒有用的。
因此,您首先需要使用,而不是密碼到期日期, 多重身份驗證。上面列出了其他安全措施:禁止密碼清單、暴力破解和其他異常登入嘗試偵測。
«定期密碼過期是一種古老且過時的安全措施”,微軟總結道,“我們認為沒有任何具體價值值得應用於我們的基準保護等級。透過將其從我們的基線中刪除,組織可以選擇最適合其感知需求的內容,而不會與我們的建議相衝突。”
產量
如果今天一家公司強迫使用者定期更改密碼,外部觀察者會怎麼想?
- 鑑於: 該公司使用一種古老的防禦機制。
- 假設: 該公司尚未實施現代化的保護機制。
- 結論: 這些密碼更容易取得和使用。
事實證明,定期更改密碼會使公司成為更有吸引力的攻擊目標。
來源: www.habr.com