Microsoft заявляет, что принудительный сброс пароля не повышает безопасность

Microsoft заявляет, что принудительный сброс пароля не повышает безопасность

Любой, кто провел более нескольких недель, работая в корпоративной среде, имел дело с фрустрацией обязательной смены пароля. Тем не менее, эти дни, наконец, подходят к концу. В недавнем сообщении в блоге Microsoft признала, что принудительные изменения пароля не повышают безопасность и могут фактически сделать корпоративные сети менее безопасными.

В течение десятилетий базовые методы паролей, которые Microsoft предоставляла клиентам, предлагали сотрудникам менять свои пароли каждые 60 дней. Согласно Аарону Маргозису из Microsoft, этот метод является «древним и устаревшим средством предотвращения очень низких ценностей». Он исходит из эпохи, когда люди могут обмениваться паролями, и со временем пароль может вытечь из организации. Сегодняшние взломы паролей происходят со скоростью света, поскольку злоумышленники крадут данные и используют графические процессоры для подбора паролей. Если предположить, что пароль украден, неужели 60 дней - это довольно много времени, чтобы вор мог его использовать? Любой, кто собирается нанести реальный ущерб, сделает это задолго до того, как восстановится сброс пароля.

Когда вы заставляете пользователей часто менять пароли, они могут выбирать пароли, которые легко запомнить. Исследования показывают, что такие пароли, вероятно, легче всего взломать, если кто-то украдет хешированную базу данных и выпустит на нее целую армию графических процессоров. Например, люди используют словарные слова с числами, заменяющими похожие буквы. Если вы заставите их изменить этот пароль, они, вероятно, просто внесут предсказуемые изменения, которые так же легко взломать.

Microsoft заявляет, что принудительный сброс пароля не повышает безопасность

Маргозис говорит, что выполнение требований, таких как списки запрещенных паролей, многофакторная аутентификация, обнаружение атак с подборами паролей и обнаружение аномальных попыток входа в систему, делает принудительное восстановление пароля устаревшим. Пароли по своей сути проблематичны для безопасности, поэтому заставить людей выбирать больше плохих паролей - не лучший подход. Маргозис отмечает, что Microsoft не меняет свои рекомендации по длине, сложности или истории пароля. Самые надежные пароли генерируются случайным образом, и чем они длиннее, тем лучше.

Несмотря на то, что Microsoft перестанет говорить организациям о принудительном сбросе паролей, она не будет сразу же принимать собственные рекомендации. Таймер сброса пароля в продуктах Windows Server по-прежнему составляет 42 дня. Впрочем, не удивительно, если Microsoft изменит это значение по умолчанию в будущих версиях. Тем не менее, ИТ-работники, которые хотят избавиться от утомительной и ненужной переустановки паролей, найдут что-то, что поможет показать их.

Читать далее

Pfizer заявляет, что новая вакцина против COVID-19 эффективна на 90%
Pfizer заявляет, что новая вакцина против COVID-19 эффективна на 90%

В Соединенных Штатах и ​​во всем мире разрабатывается ряд вакцин против COVID-19, и одна из них показала весьма положительные предварительные результаты в фазе 3 испытаний. Одна конкретная вакцина, разработанная Pfizer и немецкой фирмой BioNTech, по-видимому, более чем на 90 процентов эффективна в предотвращении симптоматических…

Xiaomi заявляет, что ее новый продукт может заряжать телефон из любой точки комнаты
Xiaomi заявляет, что ее новый продукт может заряжать телефон из любой точки комнаты

Технология Mi Air Charge компании якобы может заряжать ваш телефон на расстоянии, даже когда он находится в вашем кармане. По крайней мере, они так утверждают - мы не знаем наверняка, потому что Mi Air Charge - это просто техническая демонстрация прямо сейчас.

Nvidia заявляет, что Nerf не сможет использовать крипто-майнинг на существующих графических процессорах
Nvidia заявляет, что Nerf не сможет использовать крипто-майнинг на существующих графических процессорах

Мы живем в идеальном шторме для роста цен на графические процессоры, между майнингом криптовалют, пандемическими играми и глобальным дефицитом полупроводников. Nvidia надеется бороться с высокими ценами на графические процессоры с помощью предстоящего RTX 3060, позволяя майнить существующие карты на полной скорости.

Samsung заявляет, что не может выпустить Galaxy Note в этом году
Samsung заявляет, что не может выпустить Galaxy Note в этом году

Samsung выпускает новый смартфон Galaxy Note каждый год в течение последнего десятилетия, но, возможно, это первый раз, когда Samsung пропускает флагманский стилус. По словам руководителя мобильной связи компании DJ Koh, Samsung переосмысливает свою стратегию выпуска нескольких флагманских семейств устройств за один год.