Windows 10 različica 1903 opušča pravilnike o poteku gesla
Windows 10 podpira dve vrsti računov. Eden je klasični lokalni račun, ki je bil na voljo v vseh prejšnjih različicah sistema Windows, drugi je sodobni Microsoftov račun, ki je povezan s storitvami v oblaku podjetja. Pred Windows 10 različico 1903 je imel Microsoft nastavljive pravilnike o poteku gesla za boljšo varnost, ki segajo v najzgodnejše različice sistema Windows NT. To se je spremenilo.
Skratka, ima Microsoft zdaj naslednje argumente proti nenehnemu spreminjanju gesla.
Uradna objava na blogu navaja naslednje.
Zakaj odstranjujemo pravilnike o poteku gesla?
Prvič, da bi se izognili neizogibnim nesporazumom, tukaj govorimo samo o odstranitvi pravilniki o poteku gesla – ne predlagamo spreminjanja zahtev za minimalno dolžino gesla, zgodovina ali zapletenost.
Periodično potekanje gesla je le obramba pred verjetnostjo, da bo geslo (ali hash) ukradeno med njegovim intervalom veljavnosti in ga bo uporabil nepooblaščen subjekt. Če geslo ni nikoli ukradeno, ga ni treba poteči. In če imate dokaze, da je bilo geslo ukradeno, bi verjetno ukrepali takoj, ne pa čakali na potek, da odpravite težavo.
Če je podano, da bo geslo verjetno ukradeno, koliko dni je sprejemljivo obdobje, da se tatu še naprej dovoli uporaba tega ukradenega gesla? Windows privzeto je 42 dni. Ali se to ne zdi smešno dolgo? No, je, in vendar naša trenutna izhodiščna vrednost pravi 60 dni – in včasih so rekli 90 dni –, ker prisilno iztekanje prinaša svoje težave. In če ni samoumevno, da bodo gesla ukradena, si te težave pridobite brez koristi. Poleg tega, če so vaši uporabniki tisti, ki so pripravljeni odgovarjati na ankete na parkirišču, ki zamenjajo sladkarije za svoja gesla, vam noben pravilnik o poteku gesla ne bo pomagal.
Naše izhodišča naj bi jih uporabljala večina dobro vodenih podjetij, ki se zavedajo varnosti, z minimalnimi ali kakršnimi spremembami. Namenjeni so tudi kot smernice za revizorje. Torej, kakšen naj bo priporočen rok uporabnosti? Če je organizacija uspešno uvedla sezname prepovedanih gesel, večfaktorsko preverjanje pristnosti, odkrivanje napadi ugibanja gesla in odkrivanje nenavadnih poskusov prijave, ali potrebujejo kakšno občasno geslo potek? In če niso uvedli sodobnih ublažitev, koliko zaščite bodo v resnici pridobili zaradi poteka gesla?
Rezultati osnovnih pregledov skladnosti se običajno merijo s tem, koliko nastavitev je neskladnih: »Koliko rdečega imamo na grafikonu?" Ni nenavadno, da organizacije med revizijo obravnavajo številke skladnosti kot pomembnejše od resničnega varnost. Če osnovni načrt priporoča 60 dni in se organizacija z napredno zaščito odloči za 365 dni – ali brez poteka sploh – v revizijo se bodo po nepotrebnem zapletli in bodo morda prisiljeni spoštovati 60-dnevni priporočilo.
Periodično potekanje gesla je starodavno in zastarelo ublažitev zelo nizke vrednosti in menimo, da se za našo osnovno vrednost ne splača uveljavljati nobene posebne vrednosti. Z odstranitvijo iz naše osnovne vrednosti namesto s priporočili določene vrednosti ali brez poteka veljavnosti lahko organizacije izberejo tisto, kar najbolje ustreza njihovim zaznanim potrebam, ne da bi v nasprotju z našimi navodili. Hkrati moramo ponoviti, da močno priporočamo dodatne zaščite, čeprav jih v naših izhodiščih ni mogoče izraziti.
Zato so pravilniki o poteku gesla zastareli z začetkom v sistemu Windows 10 različice 1903. Ta sprememba ne vpliva na druge pravilnike o geslih, vključno s pravilniki za dolžino in zapletenost.