Microsoft заявляет, что принудительный сброс пароля не повышает безопасность
Любой, кто провел более нескольких недель, работая в корпоративной среде, имел дело с фрустрацией обязательной смены пароля. Тем не менее, эти дни, наконец, подходят к концу. В недавнем сообщении в блоге Microsoft признала, что принудительные изменения пароля не повышают безопасность и могут фактически сделать корпоративные сети менее безопасными.
В течение десятилетий базовые методы паролей, которые Microsoft предоставляла клиентам, предлагали сотрудникам менять свои пароли каждые 60 дней. Согласно Аарону Маргозису из Microsoft, этот метод является «древним и устаревшим средством предотвращения очень низких ценностей». Он исходит из эпохи, когда люди могут обмениваться паролями, и со временем пароль может вытечь из организации. Сегодняшние взломы паролей происходят со скоростью света, поскольку злоумышленники крадут данные и используют графические процессоры для подбора паролей. Если предположить, что пароль украден, неужели 60 дней - это довольно много времени, чтобы вор мог его использовать? Любой, кто собирается нанести реальный ущерб, сделает это задолго до того, как восстановится сброс пароля.
Когда вы заставляете пользователей часто менять пароли, они могут выбирать пароли, которые легко запомнить. Исследования показывают, что такие пароли, вероятно, легче всего взломать, если кто-то украдет хешированную базу данных и выпустит на нее целую армию графических процессоров. Например, люди используют словарные слова с числами, заменяющими похожие буквы. Если вы заставите их изменить этот пароль, они, вероятно, просто внесут предсказуемые изменения, которые так же легко взломать.
Маргозис говорит, что выполнение требований, таких как списки запрещенных паролей, многофакторная аутентификация, обнаружение атак с подборами паролей и обнаружение аномальных попыток входа в систему, делает принудительное восстановление пароля устаревшим. Пароли по своей сути проблематичны для безопасности, поэтому заставить людей выбирать больше плохих паролей - не лучший подход. Маргозис отмечает, что Microsoft не меняет свои рекомендации по длине, сложности или истории пароля. Самые надежные пароли генерируются случайным образом, и чем они длиннее, тем лучше.
Несмотря на то, что Microsoft перестанет говорить организациям о принудительном сбросе паролей, она не будет сразу же принимать собственные рекомендации. Таймер сброса пароля в продуктах Windows Server по-прежнему составляет 42 дня. Впрочем, не удивительно, если Microsoft изменит это значение по умолчанию в будущих версиях. Тем не менее, ИТ-работники, которые хотят избавиться от утомительной и ненужной переустановки паролей, найдут что-то, что поможет показать их.
Читать далее
Лучшие системы безопасности умного дома
Когда-то являвшиеся нишевым бизнесом с несколькими традиционными игроками и несколькими стартапами, системы домашней безопасности теперь являются основным полем битвы не только для охранных компаний, но и для нескольких интернет-гигантов. Мы собрали самые популярные варианты на 2020 год.
Microsoft: чип Pluton обеспечит безопасность на уровне Xbox на ПК с Windows
Intel, AMD и Qualcomm работают над тем, чтобы сделать Pluton частью своих будущих проектов, что должно сделать ПК более трудным для взлома, но также встроит технологию Microsoft в ваше оборудование.
Исследователь безопасности: пароль компании solarwinds123 оставлен уязвимым в 2019 г.
SolarWinds, компания, оказавшаяся в центре массового взлома правительственных учреждений и корпораций США, не совсем использует передовые методы паролей.
Приложение для обмена файлами с миллиардом загрузок имеет серьезный недостаток безопасности
Trend Micro заявляет, что SHAREit - это кошмар безопасности, который может позволить злоумышленникам украдкой взглянуть на ваши данные или даже установить вредоносное ПО. Пожалуй, самое тревожное, что разработчики не ответили на предупреждения Trend Micro.