System Windows 10 w wersji 1903 wycofuje zasady wygasania haseł
Windows 10 obsługuje dwa rodzaje kont. Jedno to klasyczne konto lokalne, które było dostępne we wszystkich poprzednich wersjach systemu Windows, drugie to nowoczesne konto Microsoft, które jest połączone z usługami chmurowymi firmy. Przed Windows 10 w wersji 1903 firma Microsoft miała konfigurowalne zasady wygasania haseł dla lepszego bezpieczeństwa, sięgające najwcześniejszych wersji systemu Windows NT. To się zmieniło.
Krótko mówiąc, Microsoft ma teraz następujące argumenty przeciwko ciągłej zmianie hasła.
Oficjalny wpis na blogu zawiera następujące informacje.
Dlaczego usuwamy zasady wygasania haseł?
Po pierwsze, aby uniknąć nieuniknionych nieporozumień, mówimy tutaj tylko o usunięciu polityki wygasania haseł – nie proponujemy zmiany wymagań dotyczących minimalnej długości hasła, historia lub złożoność.
Okresowe wygaśnięcie hasła stanowi ochronę tylko przed prawdopodobieństwem, że hasło (lub skrót) zostanie skradzione w okresie jego ważności i zostanie użyte przez nieuprawniony podmiot. Jeśli hasło nigdy nie zostanie skradzione, nie trzeba go wygasać. A jeśli masz dowody na to, że hasło zostało skradzione, prawdopodobnie działałbyś natychmiast, zamiast czekać na wygaśnięcie, aby rozwiązać problem.
Jeśli wiadomo, że hasło może zostać skradzione, ile dni to akceptowalna długość czasu, aby złodziej mógł nadal używać tego skradzionego hasła? Domyślna wartość systemu Windows to 42 dni. Czy to nie wydaje się śmiesznie długim czasem? Cóż, tak jest, a jednak nasza obecna linia bazowa mówi o 60 dniach – a kiedyś mówiono o 90 dniach – ponieważ wymuszanie częstego wygaśnięcia wprowadza własne problemy. A jeśli nie jest pewne, że hasła zostaną skradzione, nabędziesz te problemy bez żadnych korzyści. Co więcej, jeśli Twoi użytkownicy są tymi, którzy chcą odpowiadać na ankiety na parkingu, które wymieniają batoniki na swoje hasła, żadna polityka wygasania haseł Ci nie pomoże.
Nasze linie bazowe są przeznaczone do użytku z minimalną lub jakąkolwiek modyfikacją przez większość dobrze zarządzanych przedsiębiorstw dbających o bezpieczeństwo. Mają one również służyć jako wytyczne dla audytorów. Jaki powinien być więc zalecany okres wygaśnięcia? Jeśli organizacja pomyślnie wdrożyła listy zakazanych haseł, uwierzytelnianie wieloskładnikowe, wykrywanie ataki polegające na odgadywaniu haseł i wykrywanie nietypowych prób logowania, czy potrzebują okresowego hasła? wygaśnięcie? A jeśli nie wdrożyli nowoczesnych mechanizmów ograniczania ryzyka, jaką ochronę naprawdę uzyskają po wygaśnięciu hasła?
Wyniki podstawowych skanów zgodności są zwykle mierzone na podstawie liczby ustawień niezgodnych: „Ile mamy koloru czerwonego na wykresie? Nie jest niczym niezwykłym, że organizacje podczas audytu traktują liczby zgodności jako ważniejsze niż w rzeczywistym świecie bezpieczeństwo. Jeśli linia bazowa zaleca 60 dni, a organizacja z zaawansowanymi zabezpieczeniami wybiera 365 dni – lub bez wygaśnięcia w ogóle – będą niepotrzebnie brać udział w audycie i mogą być zmuszeni do przestrzegania 60-dniowego rekomendacje.
Okresowe wygaśnięcie hasła jest starym i przestarzałym środkiem łagodzącym o bardzo niskiej wartości i nie uważamy, że warto, aby nasza podstawa wymuszała jakąkolwiek konkretną wartość. Usuwając ją z naszego punktu odniesienia, zamiast zalecać konkretną wartość lub brak wygaśnięcia, organizacje mogą wybrać to, co najlepiej odpowiada ich postrzeganym potrzebom, nie sprzeciwiając się naszym wskazówkom. Jednocześnie musimy powtórzyć, że zdecydowanie zalecamy dodatkowe zabezpieczenia, nawet jeśli nie można ich wyrazić w naszych wartościach bazowych.
Dlatego zasady wygasania haseł są przestarzałe, począwszy od systemu Windows 10 w wersji 1903. Ta zmiana nie wpływa na inne zasady dotyczące haseł, w tym zasady dotyczące długości i złożoności.
