Windows 10 -versio 1903 poistaa käytöstä salasanan vanhenemiskäytännöt
Windows 10 tukee kahdenlaisia tilejä. Toinen on klassinen paikallinen tili, joka on ollut saatavilla kaikissa aiemmissa Windows-versioissa, toinen on moderni Microsoft-tili, joka liittyy yrityksen pilvipalveluihin. Ennen Windows 10 -versiota 1903 Microsoftilla oli konfiguroitavia salasanan vanhenemiskäytäntöjä parempaa suojausta varten Windows NT: n vanhimpiin versioihin asti. Tämä on muuttunut.
Lyhyesti sanottuna Microsoftilla on nyt seuraavat argumentit jatkuvaa salasanan vaihtamista vastaan.
Virallinen blogikirjoitus kertoo seuraavaa.
Miksi poistamme salasanan vanhenemiskäytännöt?
Ensinnäkin, yrittääksemme välttää väistämättömiä väärinkäsityksiä, puhumme tässä vain poistamisesta salasanan vanhenemiskäytännöt – emme ehdota muutoksia salasanan vähimmäispituuteen, historiaa tai monimutkaisuutta.
Säännöllinen salasanan vanheneminen suojaa vain sitä todennäköisyyttä, että salasana (tai hash) varastetaan sen voimassaoloaikana ja että luvaton taho käyttää sitä. Jos salasanaa ei koskaan varasteta, sitä ei tarvitse vanhentaa. Ja jos sinulla on todisteita siitä, että salasana on varastettu, oletettavasti toimisit välittömästi sen sijaan, että odottaisit vanhenemista ongelman korjaamiseksi.
Jos on tiedossa, että salasana todennäköisesti varastetaan, kuinka monta päivää on hyväksyttävä aika jatkaa varastetun salasanan käyttöä? Windowsin oletusarvo on 42 päivää. Eikö se tunnu naurettavan pitkältä ajalta? No, se on, ja silti nykyinen lähtötilanteemme sanoo 60 päivää – ja aiemmin sanottiin 90 päivää – koska toistuvan vanhenemisen pakottaminen tuo omat ongelmansa. Ja jos salasanojen varastaminen ei ole tiedossa, hankit nämä ongelmat ilman hyötyä. Lisäksi, jos käyttäjäsi ovat sellaisia, jotka ovat valmiita vastaamaan parkkipaikalla tehtyihin kyselyihin, joissa salasanoihinsa vaihdetaan karkkipatukka, mikään salasanan vanhenemiskäytäntö ei auta sinua.
Perustasomme on tarkoitettu useimpien hyvin johdettujen, turvallisuustietoisten yritysten käytettäväksi mahdollisimman vähäisin muutoksin. Niiden on tarkoitus toimia myös ohjeena tilintarkastajille. Mikä siis suositeltavan vanhenemisajan pitäisi olla? Jos organisaatio on onnistuneesti ottanut käyttöön kiellettyjen salasanojen luettelot, monitekijätodennuksen, havaitsemisen salasanan arvaushyökkäykset ja poikkeavien kirjautumisyritysten havaitseminen, tarvitsevatko ne säännöllistä salasanaa vanheneminen? Ja jos he eivät ole ottaneet käyttöön nykyaikaisia lievennyksiä, kuinka paljon suojaa he todella saavat salasanan vanhenemiselta?
Perustason yhteensopivuusskannausten tuloksia mitataan yleensä sillä, kuinka monta asetusta ei ole yhteensopiva: "Kuinka paljon punaista meillä on kartalla?" Ei ole epätavallista, että organisaatiot pitävät auditoinnin aikana vaatimustenmukaisuuslukuja tärkeämpänä kuin todellista maailmaa turvallisuus. Jos perustaso suosittelee 60 päivää ja organisaatio, jossa on edistynyt suojaus, valitsee 365 päivää – tai ei vanhenemista ollenkaan – he joutuvat tarkastukseen tarpeettomasti ja saattavat joutua noudattamaan 60 päivää suositus.
Säännöllinen salasanan vanheneminen on ikivanha ja vanhentunut lievennys, jolla on erittäin pieni arvo, emmekä usko, että perustasollamme kannattaa pakottaa tiettyä arvoa. Poistamalla sen perustasosta sen sijaan, että suosittelisimme tiettyä arvoa tai ei vanhenemista, organisaatiot voivat valita sen, mikä parhaiten sopii heidän havaittuihin tarpeisiinsa ilman, että se on ristiriidassa ohjeidemme kanssa. Samalla meidän on toistettava, että suosittelemme vahvasti lisäsuojauksia, vaikka niitä ei voida ilmaista lähtötasoissamme.
Joten salasanan vanhenemiskäytännöt ovat vanhentuneet Windows 10 -versiosta 1903 alkaen. Tämä muutos ei vaikuta muihin salasanakäytäntöihin, mukaan lukien pituutta ja monimutkaisuutta koskevat käytännöt.
