Срок действия пароля истек
azure, cloud security, security
В мае 2019 года Microsoft выпустили обновление требований безопасности для настольных и серверных систем, в которых больше не появляются регулярные запросы на периодическую смену паролей.
ИТ-безопасность для бизнеса считается важным приоритетным вопросом. В современной практике часто используется механизм регулярных запросов с требованием сменить пароль. Этот подход рассматривается как один из возможных способов обеспечения безопасности, хотя такой процесс нежелателен для пользователей, и его эффективность довольно сомнительна. Некоторые считают, что для создания нового пароля им достаточно просто изменить один символ в конце строки.
Практика регулярной смены пароля связана со множеством неудобств: вам нужно создать новый пароль, запомнить его, ввести его на нескольких устройствах. Кроме того, ввод действительно надежного пароля с мобильного телефона – это крайне неудобный процесс. Все это отвлекает внимание, отнимает много времени мешает работе в целом. Однако многие вынуждены соглашаться с такими мерами предосторожности в целях безопасности. Но неужели сейчас действительно есть такая необходимость страдать от всех этих неудобств?
Microsoft Cyber Defense Operations Center
В мае 2019 года Microsoft выпустили обновление требований безопасности для настольных и серверных систем, в которых больше не появляются регулярные запросы на периодическую смену паролей. Вот официальное сообщение в блоге со списком изменений в версии Windows 10 v 1903 (обратите внимание на фразу «Отказ от политик истечения срока действия пароля, которые требуют периодической смены пароля»). Правила и системные политики Windows 10 версии 1903 и Windows Server 2019 Baseline Security включены в пакет Microsoft Security Compliance Toolkit 1.0.
Теперь это требование уже можно считать устаревшим, современные реалии мира ИТ изменились.
Учитывая важность защиты паролем и тот факт, что ИТ-департамент долгое время испытывал трудности в решении этой проблемы, Microsoft объясняет, почему они отказались от этой практики. Акценты сделаны на следующие моменты:
- Если сотрудник самостоятельно устанавливает свой собственный пароль, зачастую, получив некоторую информацию об этом сотруднике, можно слишком просто и достаточно легко угадать или предсказать пароль.
- Если для сотрудника автоматически генерируется сложный пароль – его трудно запомнить. Очень часто пользователи записывают свой пароль, оставляя на виду у других сотрудников офиса или сохраняя в простом текстовом виде в незащищенном месте. Последний вариант даже неопытному хакеру создает очень благоприятные условия для кражи.
- Такая регулярная смена пароля приводит к простому добавлению или изменению предсказуемых символов. И если пароль или его хеш-код скомпрометированы –бывает чрезвычайно трудно выявить это.
Сколько дней хакер может скрытно пользоваться добытым паролем? По умолчанию, для Windows это 42 дня. Недопустимо долго, не так ли?
А еще более частая смена пароля превратит работу сотрудников в настоящую агонию.
Что делать?
Новый стандарт безопасности создан для компаний, которые внедрили современные решения по управлению безопасностью, настроили соответствующие политики и ограничения, регулярно отслеживают активность и своевременно реагируют на подозрительные действия.
Этот стандарт также может служить руководством для аудиторов. Если такая организация использует списки запрещенных паролей, многофакторную аутентификацию, атаку паролем и обнаружение ненормальных попыток входа в систему, должен ли остаться механизм периодической смены пароля? И если она не использует современные решения по защите, останется ли польза от смены пароля по истечению срока действия?
Принципы Microsoft просты и понятны. Есть два варианта:
- Компания применяет современные решения для защиты.
- Компания не применяет современные решения для защиты.
В первом случае регулярная смена пароля только создает лишние проблемы для сотрудников, но не повышает уровень безопасности.
Во втором случае обычная смена пароля просто бесполезна.
Следовательно, вместо механизма истечения срока действия пароля в первую очередь должна использоваться многофакторная аутентификация. Дополнительные меры безопасности перечислены выше: списки запрещенных паролей, атака с использованием перебора паролей и обнаружение неправильных попыток входа в систему.
Выводы
Если компания заставляет пользователей регулярно менять пароли, какие предположения возникнут у наблюдателя со стороны?
Дано: компания использует архаичное решение для обеспечения безопасности.
Предположение: компания не внедрила современные защитные решения.
Вывод: добыть и пользоваться этими паролями гораздо проще.
Оказывается, что используя подход периодической смены пароля, компания тем самым становится более привлекательной мишенью для атак.
Мы согласны с политикой Microsoft и настоятельно рекомендуем вам начать использовать современные методы управления безопасностью и защитой данных.
Получите скидку на услуги, связанные с безопасностью, предоставив промокод Modern Security.