Windows 10 verzija 1903 zabranjuje pravila isteka lozinke
Windows 10 podržava dvije vrste računa. Jedan je klasični lokalni račun koji je bio dostupan u svim prethodnim verzijama Windowsa, drugi je moderni Microsoftov račun koji je povezan s cloud servisima tvrtke. Prije Windows 10 verzije 1903, Microsoft je imao konfigurabilna pravila isteka lozinke radi bolje sigurnosti koja datiraju iz najranijih verzija Windows NT-a. Ovo se promijenilo.
Ukratko, Microsoft sada ima sljedeće argumente protiv kontinuirane promjene lozinke.
Službeni blog post navodi sljedeće.
Zašto uklanjamo pravila o isteku lozinke?
Prvo, kako bismo izbjegli neizbježne nesporazume, ovdje govorimo samo o uklanjanju pravila o isteku lozinke – ne predlažemo promjenu zahtjeva za minimalnu duljinu lozinke, povijest ili složenost.
Periodični istek lozinke je samo obrana od vjerojatnosti da će lozinka (ili hash) biti ukradena tijekom njezinog intervala valjanosti i da će je koristiti neovlašteni entitet. Ako lozinka nikada nije ukradena, nema potrebe da istekne. A ako imate dokaz da je lozinka ukradena, vjerojatno biste djelovali odmah, a ne čekali da istekne kako biste riješili problem.
Ako je dano da je vjerojatno da će lozinka biti ukradena, koliko je dana prihvatljivo vrijeme da se nastavi dopustiti lopovu da koristi tu ukradenu lozinku? Zadana postavka za Windows je 42 dana. Ne čini li se to smiješno dugo vremena? Pa, jest, a ipak naša trenutna polazna vrijednost kaže 60 dana – a nekada se govorilo 90 dana – jer prisiljavanje na česti istek uvodi svoje probleme. A ako nije dano da će lozinke biti ukradene, stječete te probleme bez ikakve koristi. Nadalje, ako su vaši korisnici oni koji su spremni odgovoriti na ankete na parkiralištu koje zamjenjuju slatkiše za svoje lozinke, nikakva politika isteka lozinke neće vam pomoći.
Namjera je da se naše osnovne vrijednosti mogu koristiti uz minimalne ili ikakve izmjene od strane većine dobro vođenih, sigurnosno svjesnih poduzeća. Također su namijenjeni da služe kao smjernice revizorima. Dakle, koji bi trebao biti preporučeni rok trajanja? Ako je organizacija uspješno implementirala popise zabranjenih lozinki, višefaktorsku provjeru autentičnosti, otkrivanje napadi pogađanja lozinki i otkrivanje anomalnih pokušaja prijave, trebaju li im bilo kakva periodična lozinka isteka? A ako nisu implementirali moderna ublažavanja, koliku će zaštitu stvarno dobiti od isteka lozinke?
Rezultati osnovnih skeniranja usklađenosti obično se mjere prema tome koliko je postavki neusklađeno: „Koliko crvenog imamo na grafikonu?" Nije neobično da organizacije tijekom revizije tretiraju brojeve usklađenosti važnijim od stvarnih sigurnost. Ako osnovna vrijednost preporučuje 60 dana, a organizacija s naprednom zaštitom odluči se za 365 dana – ili bez isteka uopće – nepotrebno će se uvući u reviziju i mogli bi biti prisiljeni pridržavati se 60-dnevnog preporuka.
Periodično istjecanje lozinke staro je i zastarjelo ublažavanje vrlo niske vrijednosti i ne vjerujemo da je vrijedno truda da naša osnovna vrijednost provodi bilo kakvu specifičnu vrijednost. Uklanjanjem iz naše osnovne vrijednosti umjesto preporukom određene vrijednosti ili bez isteka, organizacije mogu odabrati ono što najbolje odgovara njihovim percipiranim potrebama bez suprotnosti s našim smjernicama. Istodobno, moramo ponoviti da snažno preporučamo dodatne zaštite iako se one ne mogu izraziti u našim osnovnim vrijednostima.
Dakle, pravila o isteku lozinke su zastarjela počevši od verzije 1903 sustava Windows 10. Ova promjena ne utječe na druga pravila o zaporkama, uključujući pravila za duljinu i složenost.
