Windows 10 Έκδοση 1903 Καταργεί τις πολιτικές λήξης κωδικού πρόσβασης

Γιατί καταργούμε τις πολιτικές λήξης κωδικού πρόσβασης;

Πρώτον, για να προσπαθήσουμε να αποφύγουμε αναπόφευκτες παρεξηγήσεις, μιλάμε εδώ μόνο για την αφαίρεση πολιτικές λήξης κωδικού πρόσβασης – δεν προτείνουμε αλλαγές στις απαιτήσεις για ελάχιστο μήκος κωδικού πρόσβασης, ιστορία ή πολυπλοκότητα.

Η περιοδική λήξη του κωδικού πρόσβασης αποτελεί άμυνα μόνο έναντι της πιθανότητας κλοπής ενός κωδικού πρόσβασης (ή κατακερματισμού) κατά το διάστημα ισχύος του και θα χρησιμοποιηθεί από μη εξουσιοδοτημένη οντότητα. Εάν ένας κωδικός πρόσβασης δεν κλαπεί ποτέ, δεν χρειάζεται να λήξει. Και αν έχετε αποδείξεις ότι ένας κωδικός πρόσβασης έχει κλαπεί, πιθανώς θα ενεργούσατε αμέσως αντί να περιμένετε τη λήξη για να διορθώσετε το πρόβλημα.

Εάν είναι δεδομένο ότι ένας κωδικός πρόσβασης είναι πιθανό να κλαπεί, πόσες ημέρες είναι αποδεκτό χρονικό διάστημα για να συνεχίσει ο κλέφτης να χρησιμοποιεί αυτόν τον κλεμμένο κωδικό πρόσβασης; Η προεπιλογή των Windows είναι 42 ημέρες. Δεν σας φαίνεται πολύ μεγάλο χρονικό διάστημα; Λοιπόν, είναι, και όμως η τρέχουσα γραμμή βάσης μας λέει 60 ημέρες – και έλεγε 90 ημέρες – γιατί η επιβολή συχνής λήξης εισάγει τα δικά του προβλήματα. Και αν δεν είναι δεδομένο ότι οι κωδικοί πρόσβασης θα κλαπούν, θα αποκτήσετε αυτά τα προβλήματα χωρίς κανένα όφελος. Επιπλέον, εάν οι χρήστες σας είναι το είδος που είναι πρόθυμοι να απαντήσουν σε έρευνες στο πάρκινγκ που ανταλλάσσουν μια μπάρα καραμελών με τους κωδικούς τους, καμία πολιτική λήξης κωδικού πρόσβασης δεν θα σας βοηθήσει.

Οι γραμμές βάσης μας προορίζονται να μπορούν να χρησιμοποιηθούν με ελάχιστη έως και οποιαδήποτε τροποποίηση από τις περισσότερες καλά διαχειριζόμενες επιχειρήσεις που έχουν επίγνωση της ασφάλειας. Προορίζονται επίσης να χρησιμεύσουν ως καθοδήγηση για τους ελεγκτές. Ποια πρέπει λοιπόν να είναι η προτεινόμενη περίοδος λήξης; Εάν ένας οργανισμός έχει εφαρμόσει με επιτυχία λίστες με απαγορευμένους κωδικούς πρόσβασης, έλεγχο ταυτότητας πολλαπλών παραγόντων, ανίχνευση επιθέσεις εικασίας κωδικού πρόσβασης και ανίχνευση ανώμαλων προσπαθειών σύνδεσης, χρειάζονται περιοδικό κωδικό πρόσβασης λήξη? Και αν δεν έχουν εφαρμόσει σύγχρονους μετριασμούς, πόση προστασία θα κερδίσουν πραγματικά από τη λήξη του κωδικού πρόσβασης;

Τα αποτελέσματα των σαρώσεων συμμόρφωσης βασικής γραμμής μετρώνται συνήθως με το πόσες ρυθμίσεις είναι εκτός συμμόρφωσης: «Πόσο κόκκινο έχουμε στο γράφημα;» Δεν είναι ασυνήθιστο για τους οργανισμούς κατά τη διάρκεια του ελέγχου να αντιμετωπίζουν τους αριθμούς συμμόρφωσης ως πιο σημαντικούς από τον πραγματικό κόσμο ασφάλεια. Εάν μια βασική γραμμή συνιστά 60 ημέρες και ένας οργανισμός με προηγμένες προστασίες επιλέξει 365 ημέρες - ή χωρίς λήξη καθόλου - θα μπουν άσκοπα σε έναν έλεγχο και μπορεί να υποχρεωθούν να τηρήσουν τις 60 ημέρες σύσταση.

Η περιοδική λήξη του κωδικού πρόσβασης είναι ένας αρχαίος και απαρχαιωμένος μετριασμός πολύ χαμηλής αξίας και δεν πιστεύουμε ότι αξίζει τον κόπο η βασική μας γραμμή να επιβάλει κάποια συγκεκριμένη τιμή. Αφαιρώντας το από τη γραμμή βάσης αντί να προτείνουμε μια συγκεκριμένη τιμή ή μη λήξη, οι οργανισμοί μπορούν να επιλέξουν ό, τι ταιριάζει καλύτερα στις αντιληπτές ανάγκες τους χωρίς να έρχονται σε αντίθεση με τις οδηγίες μας. Ταυτόχρονα, πρέπει να επαναλάβουμε ότι συνιστούμε ανεπιφύλακτα πρόσθετες προστασίες, παρόλο που δεν μπορούν να εκφραστούν στις βασικές μας γραμμές.