Windows 10 גרסה 1903 מוציאה משימוש את מדיניות תפוגת הסיסמה
Windows 10 תומך בשני סוגים של חשבונות. האחד הוא החשבון המקומי הקלאסי שהיה זמין בכל גרסאות חלונות קודמות, השני הוא חשבון מיקרוסופט המודרני המחובר לשירותי הענן של החברה. לפני Windows 10 גרסה 1903, למיקרוסופט הייתה מדיניות תפוגת סיסמאות ניתנת להגדרה לאבטחה טובה יותר, עוד מהגירסאות המוקדמות ביותר של Windows NT. זה השתנה.
בקיצור, למיקרוסופט יש כעת את הטיעונים הבאים נגד שינוי סיסמה מתמשך.
הפוסט הרשמי בבלוג מציין את הדברים הבאים.
מדוע אנו מסירים את מדיניות תפוגת הסיסמה?
ראשית, כדי לנסות למנוע אי הבנות בלתי נמנעות, אנחנו מדברים כאן רק על הסרה מדיניות תפוגת סיסמה - איננו מציעים לשנות את הדרישות עבור אורך הסיסמה המינימלי, היסטוריה, או מורכבות.
תפוגת סיסמה תקופתית היא הגנה רק מפני ההסתברות שסיסמה (או hash) תיגנב במהלך מרווח התוקף שלה ותשמש גורם לא מורשה. אם סיסמה לעולם לא נגנבת, אין צורך לפקוע אותה. ואם יש לך הוכחות לכך שסיסמה נגנבה, יש להניח שתפעל מיד במקום לחכות לפקיעת תוקף כדי לתקן את הבעיה.
אם זה מובן מאליו שסביר להניח שסיסמה תיגנב, כמה ימים הוא פרק זמן מקובל להמשיך ולאפשר לגנב להשתמש בסיסמה שנגנבה? ברירת המחדל של Windows היא 42 ימים. זה לא נראה כמו הרבה זמן עד כדי גיחוך? ובכן, זה כן, ובכל זאת קו הבסיס הנוכחי שלנו אומר 60 יום - ונוהג לומר 90 יום - כי כפיית תפוגה תכופה מציגה בעיות משלה. ואם זה לא מובן מאליו שסיסמאות ייגנבו, אתה רוכש את הבעיות האלה ללא שום תועלת. יתרה מכך, אם המשתמשים שלך הם מהסוג שמוכן לענות על סקרים בחניון המחליפים בר ממתקים בסיסמאות שלהם, שום מדיניות תפוגת סיסמה לא תעזור לך.
קווי הבסיס שלנו נועדו להיות ניתנים לשימוש עם שינויים מינימליים אם בכלל על ידי רוב הארגונים המנוהלים היטב ומודעים לאבטחה. הם נועדו גם לשמש הנחיות למבקרים. אז מה צריכה להיות תקופת התפוגה המומלצת? אם ארגון הטמיע בהצלחה רשימות של סיסמאות אסורות, אימות רב-גורמי, זיהוי של התקפות ניחוש סיסמאות, וזיהוי ניסיונות כניסה חריגים, האם הם זקוקים לסיסמה תקופתית כלשהי תפוגה? ואם הם לא יישמו אמצעי מניעה מודרניים, כמה הגנה הם באמת יזכו מפקיעת הסיסמה?
התוצאות של סריקות תאימות בסיסיות נמדדות בדרך כלל לפי כמה הגדרות אינן תואמות: "כמה אדום יש לנו בתרשים?" זה לא יוצא דופן שארגונים במהלך ביקורת מתייחסים למספרי ציות כחשובים יותר מהעולם האמיתי בִּטָחוֹן. אם קו בסיס ממליץ על 60 יום וארגון עם הגנות מתקדמות בוחר ב-365 ימים - או ללא תפוגה בכלל - הם יסתבכו בביקורת שלא לצורך ואולי ייאלצו לדבוק ב-60 הימים המלצה.
תפוגה תקופתית של סיסמה היא הפחתה עתיקה ומיושנת בעלת ערך נמוך מאוד, ואנחנו לא מאמינים שכדאי לקו הבסיס שלנו לאכוף ערך ספציפי כלשהו. על ידי הסרתו מקו הבסיס שלנו במקום המלצה על ערך מסוים או על חוסר תפוגה, ארגונים יכולים לבחור את מה שמתאים ביותר לצרכיהם הנתפסים מבלי לסתור את ההנחיות שלנו. יחד עם זאת, עלינו להדגיש כי אנו ממליצים בחום על הגנות נוספות למרות שלא ניתן לבטא אותן בקווי הבסיס שלנו.
לכן, מדיניות תפוגת הסיסמה הוצאה משימוש החל מ-Windows 10 גרסה 1903. שינוי זה אינו משפיע על מדיניות סיסמאות אחרת, כולל מדיניות האורך והמורכבות.
