Microsoft заявляет, что принудительный сброс пароля не повышает безопасность

Microsoft заявляет, что принудительный сброс пароля не повышает безопасность

Любой, кто провел более нескольких недель, работая в корпоративной среде, имел дело с фрустрацией обязательной смены пароля. Тем не менее, эти дни, наконец, подходят к концу. В недавнем сообщении в блоге Microsoft признала, что принудительные изменения пароля не повышают безопасность и могут фактически сделать корпоративные сети менее безопасными.

В течение десятилетий базовые методы паролей, которые Microsoft предоставляла клиентам, предлагали сотрудникам менять свои пароли каждые 60 дней. Согласно Аарону Маргозису из Microsoft, этот метод является «древним и устаревшим средством предотвращения очень низких ценностей». Он исходит из эпохи, когда люди могут обмениваться паролями, и со временем пароль может вытечь из организации. Сегодняшние взломы паролей происходят со скоростью света, поскольку злоумышленники крадут данные и используют графические процессоры для подбора паролей. Если предположить, что пароль украден, неужели 60 дней - это довольно много времени, чтобы вор мог его использовать? Любой, кто собирается нанести реальный ущерб, сделает это задолго до того, как восстановится сброс пароля.

Когда вы заставляете пользователей часто менять пароли, они могут выбирать пароли, которые легко запомнить. Исследования показывают, что такие пароли, вероятно, легче всего взломать, если кто-то украдет хешированную базу данных и выпустит на нее целую армию графических процессоров. Например, люди используют словарные слова с числами, заменяющими похожие буквы. Если вы заставите их изменить этот пароль, они, вероятно, просто внесут предсказуемые изменения, которые так же легко взломать.

Microsoft заявляет, что принудительный сброс пароля не повышает безопасность

Маргозис говорит, что выполнение требований, таких как списки запрещенных паролей, многофакторная аутентификация, обнаружение атак с подборами паролей и обнаружение аномальных попыток входа в систему, делает принудительное восстановление пароля устаревшим. Пароли по своей сути проблематичны для безопасности, поэтому заставить людей выбирать больше плохих паролей - не лучший подход. Маргозис отмечает, что Microsoft не меняет свои рекомендации по длине, сложности или истории пароля. Самые надежные пароли генерируются случайным образом, и чем они длиннее, тем лучше.

Несмотря на то, что Microsoft перестанет говорить организациям о принудительном сбросе паролей, она не будет сразу же принимать собственные рекомендации. Таймер сброса пароля в продуктах Windows Server по-прежнему составляет 42 дня. Впрочем, не удивительно, если Microsoft изменит это значение по умолчанию в будущих версиях. Тем не менее, ИТ-работники, которые хотят избавиться от утомительной и ненужной переустановки паролей, найдут что-то, что поможет показать их.

Читать далее

Исследователь безопасности: пароль компании solarwinds123 оставлен уязвимым в 2019 г.
Исследователь безопасности: пароль компании solarwinds123 оставлен уязвимым в 2019 г.

SolarWinds, компания, оказавшаяся в центре массового взлома правительственных учреждений и корпораций США, не совсем использует передовые методы паролей.

Клапан запускает паровую палубу, новую компьютерную программу портативной доставки в декабре
Клапан запускает паровую палубу, новую компьютерную программу портативной доставки в декабре

Клапан объявил о своей новой паровой палубе, с планами на отправку игровых компьютеров ПК в декабре.

Питание на паровой палубный корабль в Q3 2022 в качестве преподаваемых преподавателей его апелляции
Питание на паровой палубный корабль в Q3 2022 в качестве преподаваемых преподавателей его апелляции

Несмотря на то, что люди спорят о потенциальном успехе паровой палубы, портативное устройство продает - или, по крайней мере, заброски, подобные горячие клетки.

Клапан заменит большой режим изображения с новой паровой палубой
Клапан заменит большой режим изображения с новой паровой палубой

Большие вещи могут прийти к геймерам, знакомы с текущим экраном интерфейсом с текущим экраном.