Хабрахабр

Периодическая смена паролей — устаревшая практика, пришло время от неё отказаться

Во многих IT-системах действует обязательное правило периодической смены паролей. Это, пожалуй, самое ненавистное и самое бесполезное требование систем безопасности. Некоторые пользователи в качестве лайфхака просто меняют цифру в конце.

Однако людям приходилось терпеть, ведь это ради безопасности. Такая практика вызывала массу неудобств. В мае 2019 года даже компания Microsoft наконец-то убрала требование периодической смены паролей из базового уровня требований безопасности для персональных и серверных версий Windows 10: вот официальное заявление в блоге со списком изменений к версии Windows 10 v 1903 (обратите внимание на фразу Dropping the password-expiration policies that require periodic password changes). Теперь этот совет совершенно не актуален. 0. Сами правила и системные политики Windows 10 Version 1903 and Windows Server 2019 Security Baseline внесены в комплект Microsoft Security Compliance Toolkit 1.

Обязательная смена паролей — архаизм, теперь практически официально. Можете показать эти документы начальству и сказать: времена изменились. Кстати, в новой версии по умолчанию также отменяются администраторский и гостевой аккаунты Даже аудит безопасности теперь не будет проверять это требование (если он ориентируется на официальные правила по базовой защите компьютеров под Windows).

Фрагмент списка с базовыми политиками безопасности Windows 10 v1809 и изменения в 1903, где соответствующие политики по времени действия паролей уже не применяются.

Если пароль не украден, нет смысла его менять. Microsoft популярно объясняет в блоге, почему отказалась от правила обязательной смены пароля: «Периодическое истечение срока действия пароля является защитой только от вероятности того, что пароль (или хэш) будет украден в течение его срока действия и будет использоваться неавторизованным лицом. И если у вас есть доказательства того, что пароль украден, вы, очевидно, захотите действовать немедленно, а не ждать истечения срока действия, чтобы устранить проблему».

Значение по умолчанию — 42 дня. Далее Microsoft объясняет, что в современных условиях неправильно защищаться от кражи паролей таким методом: «Если известно, что пароль, вероятно, будет украден, сколько дней является приемлемым периодом времени, чтобы позволить вору использовать этот украденный пароль? Действительно, это очень долго, и всё же наш текущий базовый показатель был установлен на 60 дней — а раньше на 90 дней — потому что форсирование частого истечения вводит свои собственные проблемы. Разве это не кажется смехотворно долгим временем? Кроме того, если ваши пользователи готовы обменять пароль на конфетку, никакая политика истечения срока действия паролей не поможет». И если пароль не обязательно будет украден, то вы приобретаете эти проблемы без пользы.

Microsoft пишет, что её базовые политики безопасности предназначены для использования хорошо управляемыми, заботящимися о безопасности предприятиями. Они также призваны служить руководством для аудиторов. Если такая организация внедрила списки запрещённых паролей, многофакторную аутентификацию, обнаружение атак с брутфорсом паролей и обнаружение аномальных попыток входа в систему, требуется ли периодическое истечение срока действия пароля? А если они не внедрили современные средства защиты, то поможет ли им истечение срока действия пароля?

У нас два варианта: Логика Microsoft на удивление убедительна.

  1. Компания внедрила современные меры защиты.
  2. Компания не внедрила современные меры защиты.

В первом случае периодическая смена пароля не даёт дополнительных преимуществ.

Во втором случае периодическая смена пароля бесполезна.

Дополнительные меры защиты перечислены выше: списки запрещённых паролей, обнаружение брутфорса и других аномальных попыток входа в систему. Таким образом, вместо срока действия пароля нужно использовать, в первую очередь, многофакторную аутентификацию.

Удаляя его из нашего базового уровня, организации могут выбирать то, что наилучшим образом соответствует их предполагаемым потребностям, не противореча нашим рекомендациям». «Периодическое истечение срока действия пароля является древней и устаревшей мерой защиты, — подводит итог Microsoft, — и мы не считаем, что для нашего уровня базовой защиты стоит применять какое-либо конкретное значение.

Если компания сегодня заставляет пользователей периодически менять пароли, что может подумать сторонний наблюдатель?

  1. Дано: компания использует архаичный защитный механизм.
  2. Предположение: компания не внедрила современные защитные механизмы.
  3. Вывод: эти пароли проще достать и использовать.

Получается, что периодическая смена паролей делает компанию более привлекательной мишенью для атак.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть