Windows 10 Verzia 1903 zastaráva pravidlá uplynutia platnosti hesla
Windows 10 podporuje dva typy účtov. Jedným z nich je klasický lokálny účet, ktorý bol dostupný vo všetkých predchádzajúcich verziách Windows, druhým je moderný účet Microsoft, ktorý je prepojený s cloudovými službami spoločnosti. Pred verziou Windows 10 1903 mal Microsoft konfigurovateľné zásady uplynutia platnosti hesla pre lepšie zabezpečenie, ktoré sa datujú od najstarších verzií Windows NT. Toto sa zmenilo.
Stručne povedané, Microsoft má teraz nasledujúce argumenty proti neustálej zmene hesla.
Oficiálny blogový príspevok uvádza nasledovné.
Prečo odstraňujeme zásady uplynutia platnosti hesla?
Po prvé, aby sme sa vyhli nevyhnutným nedorozumeniam, hovoríme tu iba o odstránení zásady uplynutia platnosti hesla – nenavrhujeme zmenu požiadaviek na minimálnu dĺžku hesla, históriu alebo zložitosť.
Periodické vypršanie platnosti hesla je obranou len proti pravdepodobnosti, že heslo (alebo hash) bude počas jeho platnosti odcudzené a bude použité neoprávneným subjektom. Ak heslo nikdy nebolo ukradnuté, nie je potrebné vypršať jeho platnosť. A ak máte dôkaz o tom, že heslo bolo ukradnuté, pravdepodobne by ste mali konať okamžite, namiesto toho, aby ste čakali na vypršanie platnosti, aby ste problém vyriešili.
Ak je pravdepodobná pravdepodobnosť odcudzenia hesla, koľko dní je prijateľná doba na to, aby zlodej mohol používať toto ukradnuté heslo? Predvolená doba systému Windows je 42 dní. Nezdá sa vám to ako smiešne dlhá doba? No, je, a napriek tomu naša súčasná základná hodnota hovorí 60 dní – a zvykne sa hovoriť 90 dní – pretože vynútenie častého uplynutia platnosti prináša svoje vlastné problémy. A ak nie je samozrejmosťou, že heslá budú ukradnuté, získate tieto problémy bez úžitku. Okrem toho, ak sú vaši používatelia takí, ktorí sú ochotní odpovedať na prieskumy na parkovisku, ktoré vymieňajú bonbón za svoje heslá, nepomôže vám žiadna politika uplynutia platnosti hesla.
Naše základné línie sú určené na to, aby boli použiteľné s minimálnymi, ak vôbec nejakými úpravami, väčšinou dobre riadenými podnikmi, ktoré si uvedomujú bezpečnosť. Majú slúžiť aj ako usmernenie pre audítorov. Aká by teda mala byť odporúčaná doba spotreby? Ak organizácia úspešne implementovala zoznamy zakázaných hesiel, viacfaktorovú autentifikáciu, detekciu útoky na hádanie hesiel a detekcia anomálnych pokusov o prihlásenie, potrebujú nejaké pravidelné heslo expirácia? A ak neimplementovali moderné zmiernenia, akú ochranu skutočne získajú vypršaním platnosti hesla?
Výsledky základných kontrol súladu sa zvyčajne merajú podľa toho, koľko nastavení je v nesúlade: „Koľko červenej máme na mape?" Nie je nezvyčajné, že organizácie počas auditu považujú čísla zhody za dôležitejšie ako skutočné bezpečnosť. Ak základná hodnota odporúča 60 dní a organizácia s pokročilou ochranou sa rozhodne pre 365 dní – alebo bez uplynutia platnosti vôbec – pri audite budú zbytočne zasiahnutí a môžu byť nútení dodržať 60-dňovú odporúčanie.
Pravidelné uplynutie platnosti hesla je starodávne a zastarané zmiernenie veľmi nízkej hodnoty a nemyslíme si, že má zmysel, aby naša základná línia presadzovala akúkoľvek konkrétnu hodnotu. Odstránením z našej základnej línie namiesto odporúčania konkrétnej hodnoty alebo bez vypršania platnosti si organizácie môžu vybrať čokoľvek, čo najlepšie vyhovuje ich vnímaným potrebám bez toho, aby boli v rozpore s našimi pokynmi. Zároveň musíme zopakovať, že dôrazne odporúčame ďalšie ochrany, aj keď ich nemožno vyjadriť v našich základných líniách.
Počnúc systémom Windows 10 verzie 1903 sú teda zásady uplynutia platnosti hesla zastarané. Táto zmena neovplyvní ostatné politiky hesiel, vrátane pravidiel pre dĺžku a zložitosť.
