Operētājsistēmas Windows 10 versija 1903 pārtrauc paroles derīguma termiņa politiku
Windows 10 atbalsta divu veidu kontus. Viens ir klasiskais lokālais konts, kas bijis pieejams visās iepriekšējās Windows versijās, otrs ir modernais Microsoft konts, kas ir saistīts ar uzņēmuma mākoņpakalpojumiem. Pirms operētājsistēmas Windows 10 versijas 1903 Microsoft bija konfigurējamas paroles derīguma termiņa politikas, lai nodrošinātu labāku drošību, sākot ar vecākajām Windows NT versijām. Tas ir mainījies.
Īsāk sakot, Microsoft tagad ir šādi argumenti pret nepārtrauktu paroles maiņu.
Oficiālajā emuāra ierakstā ir teikts sekojošais.
Kāpēc mēs noņemam paroles derīguma termiņa politikas?
Pirmkārt, lai izvairītos no neizbēgamiem pārpratumiem, mēs šeit runājam tikai par noņemšanu paroles derīguma termiņa politikas — mēs neierosinām mainīt minimālā paroles garuma prasības, vēsture vai sarežģītība.
Periodiska paroles derīguma termiņš ir aizsardzība tikai pret iespēju, ka parole (vai jaucējkoda) tiks nozagta tās derīguma termiņa laikā un to izmantos nesankcionēta persona. Ja parole nekad netiek nozagta, tai nav jābeidz derīguma termiņš. Un, ja jums ir pierādījumi, ka parole ir nozagta, jūs, iespējams, rīkoties nekavējoties, nevis gaidīt, līdz beigsies derīguma termiņš, lai atrisinātu problēmu.
Ja ir zināms, ka parole, visticamāk, tiks nozagta, cik dienas ir pieņemams laiks, lai zaglis varētu izmantot šo nozagto paroli? Windows noklusējuma iestatījums ir 42 dienas. Vai tas nešķiet smieklīgi ilgs laiks? Tā tas ir, un tomēr mūsu pašreizējā bāzlīnija paredz 60 dienas — un mēdza teikt — 90 dienas, jo biežas derīguma termiņa piespiešana rada savas problēmas. Un, ja nav zināms, ka paroles tiks nozagtas, jūs iegūstat šīs problēmas bez labuma. Turklāt, ja jūsu lietotāji ir tādi, kas autostāvvietā vēlas atbildēt uz aptaujām, kas apmaina konfekšu batoniņus pret viņu parolēm, neviena paroles derīguma termiņa politika jums nepalīdzēs.
Mūsu bāzes līnijas ir paredzētas lietošanai ar minimālām modifikācijām vairumā labi pārvaldītu, drošību apzinošu uzņēmumu. Tie ir paredzēti arī kā vadlīnijas revidentiem. Tātad, kādam vajadzētu būt ieteicamajam derīguma termiņam? Ja organizācija ir veiksmīgi ieviesusi aizliegto paroļu sarakstus, vairāku faktoru autentifikāciju, atklāšanu paroles uzminēšanas uzbrukumiem un anomālu pieteikšanās mēģinājumu atklāšanai, vai tiem ir nepieciešama periodiska parole derīguma termiņš? Un, ja viņi nav ieviesuši modernus mazināšanas pasākumus, cik lielu aizsardzību viņi patiešām iegūs no paroles derīguma termiņa beigām?
Sākotnējās atbilstības skenēšanas rezultātus parasti mēra pēc to iestatījumu neatbilstības: “Cik daudz sarkano mums ir diagrammā?" Nav nekas neparasts, ka organizācijas audita laikā atbilstības skaitļus uzskata par svarīgākiem nekā reālajā pasaulē drošību. Ja bāzlīnija iesaka 60 dienas un organizācija ar uzlabotu aizsardzību izvēlas 365 dienas — vai bez derīguma termiņa beigām vispār – viņi bez vajadzības tiks iespiesti auditā un var būt spiesti ievērot 60 dienu ieteikums.
Periodiska paroles derīguma termiņa beigas ir sens un novecojis ļoti zemas vērtības mazināšanas līdzeklis, un mēs uzskatām, ka mūsu bāzes līnijai nav lietderīgi ieviest kādu konkrētu vērtību. Noņemot to no mūsu bāzes līnijas, nevis iesakot konkrētu vērtību vai bez derīguma termiņa beigām, organizācijas var izvēlēties to, kas vislabāk atbilst viņu uztvertajām vajadzībām, nepārkāpjot mūsu norādījumus. Tajā pašā laikā mums ir jāatkārto, ka mēs stingri iesakām papildu aizsardzību, pat ja to nevar izteikt mūsu pamatlīnijās.
Tādējādi paroles derīguma termiņa politikas ir novecojušas, sākot ar Windows 10 versiju 1903. Šīs izmaiņas neietekmē citas paroļu politikas, tostarp garuma un sarežģītības politikas.
