Microsoft прибрала вимогу періодичної зміни паролів з базового рівня вимог безпеки для персональних та серверних версій Windows 10
Microsoft прибрала вимогу періодичної зміни паролів з базового рівня вимог безпеки для персональних та серверних версій Windows 10
Microsoft прибрала вимогу періодичної зміни паролів з базового рівня вимог безпеки для персональних та серверних версій Windows 10: ось офіційна заява в блозі зі списком змін до версії Windows 10 v 1903 (зверніть увагу на фразуDropping the password-expiration policies що вимагає periodic password changes). Самі правила та системні політики Windows 10 Version 1903 та Windows Server 2019 Security Baseline внесені в комплект Microsoft Security Compliance Toolkit 1.0.
Microsoft пояснює у блозі, чому відмовилася від правила обов'язкової зміни пароля: «Періодичне закінчення терміну дії пароля є захистом лише від ймовірності того, що пароль (або хеш) буде вкрадено протягом його терміну дії та використовуватиметься неавторизованою особою. Якщо пароль не вкрадено, немає сенсу його змінювати. І якщо у вас є докази того, що пароль вкрадений, ви, очевидно, захочете діяти негайно, а не чекати на закінчення терміну дії, щоб усунути проблему».
Далі Microsoft пояснює, що в сучасних умовах неправильно захищатися від крадіжки паролів таким методом: «Якщо відомо, що пароль, ймовірно, буде вкрадено, скільки днів є прийнятним періодом часу, щоб дозволити злодієві використовувати цей вкрадений пароль? Значення за замовчуванням – 42 дні. Хіба це не здається смішно довгим часом? Справді, це дуже довго, і все ж таки наш поточний базовий показник був встановлений на 60 днів — а раніше на 90 днів — тому що форсування частого закінчення вводить свої власні проблеми. І якщо пароль не обов'язково буде вкрадений, то ви набуваєте цих проблем без користі. Крім того, якщо ваші користувачі готові обміняти пароль на цукерку, жодна політика закінчення терміну дії паролів не допоможе».
Microsoft пише, що її базові політики безпеки призначені для використання добре керованими підприємствами, які дбають про безпеку. Вони також покликані служити керівництвом аудиторам. Якщо така організація впровадила списки заборонених паролів, багатофакторну автентифікацію, виявлення атак з брутфорсом паролів та виявлення аномальних спроб входу в систему, чи потрібне періодичне закінчення терміну дії пароля? А якщо вони не впровадили сучасні засоби захисту, то чи допоможе їм закінчення терміну дії пароля?
Логіка Microsoft переконлива. Два варіанти:
- Компанія запровадила сучасні заходи захисту.
- Компанія не впровадила сучасні заходи захисту.
У першому випадку періодична зміна пароля не дає додаткових переваг.
У другому випадку періодична зміна пароля марна.
Таким чином, замість терміну дії пароля потрібно використовувати, в першу черга, багатофакторну аутентифікацію. Додаткові заходи захисту перераховані вище: списки заборонених паролів, виявлення брутфорсу та інших аномальних спроб входу в систему. підсумок Microsoft, - і ми не вважаємо, що для нашого рівня базового захисту варто застосовувати якесь конкретне значення. Видаляючи його з нашого базового рівня, організації можуть вибирати те, що найкраще відповідає їх передбачуваним потребам, не суперечить нашим рекомендаціям».
