Microsoft стверджує, що примусові скидання паролів не покращують безпеку
Кожен, хто витратив більше декількох тижнів на роботу в корпоративному середовищі, справився з розчаруванням обов'язкових змін пароля. Однак ці дні, нарешті, можуть підійти до кінця. У недавній публікації блогу Microsoft визнала, що обов'язкові зміни паролів не підвищують безпеку і можуть зробити корпоративні мережі менш безпечними.
Протягом десятиліть практики Microsoft з базового пароля, надані клієнтам, пропонували змусити співробітників міняти свої паролі кожні 60 днів. За даними Microsoft Aaron Margosis, ця техніка є «давнім і застарілим пом'якшенням дуже низької вартості». Він походить від епохи, в якій люди могли б ділитися паролями, і з часом пароль може витекти з організації. Сьогоднішні порушення пароля відбуваються зі швидкістю світла, оскільки зловмисники викрадають дані і використовують графічні процесори, щоб вгадати паролі. Припускаючи, що пароль вкрадений, чи не 60 днів достатньо, щоб злодій міг скористатися ним? Кожен, хто збирається зробити реальну шкоду, зробить це задовго до того, як скинеться пароль.
Коли ви змушуєте користувачів часто змінювати паролі, вони, ймовірно, вибирають паролі, які легко запам'ятовувати. Дослідження показують, що такі паролі, напевно, найпростіше зламати в тому випадку, якщо хтось викраде хешированную базу даних і розв'язати на ній армію GPU. Наприклад, люди використовують словники словника з номерами, які замінюють літери, подібні для перегляду. Якщо ви змусите їх змінити цей пароль, вони, ймовірно, просто зроблять передбачувані зміни, які так само легко зламати.
Маргоз каже, що реалізація вимог, таких як списки заборонених паролів, багатофакторна аутентифікація, виявлення атак, що вгадують пароль, і виявлення аномальних спроб входу в систему змушують скинути застарілий пароль. Паролі за своєю суттю є проблематичними для забезпечення безпеки, тому змусити людей вибирати більш погані паролі не є найкращим підходом. Маргоз вказує, що Microsoft не змінює своїх керівних принципів щодо довжини, складності та історії паролів. Найбільш надійні паролі генеруються випадковим чином, і чим довше вони, тим краще.
Незважаючи на те, що корпорація Майкрософт перестане говорити організаціям про скидання пароля, вона не буде приймати власні поради відразу. Таймер скидання пароля в продуктах Windows Server ще 42 дні. Проте не дивно, що Microsoft змінить це значення за умовчанням у майбутніх версіях. Тим не менш, ІТ-працівники, які хочуть позбутися нудних і непотрібних скидів паролів, матимуть можливість показати вищі особи, щоб допомогти зробити свій випадок.
Читати далі
Засновник ARM стверджує, що NVIDIA конкурує несправедливо, не пояснює, чому
Засновник руки стверджує, що благодать Nvidia є доказом, що компанія зловживає своєю владою, якщо дозволено купувати руку, але він насправді не пояснив, як.
Alienware стверджує, що він не може продати високошвидкісні настільні комп'ютери в 6 штатах США
Alienware заявляє, що більше не може продавати комп'ютери в шести штатах США. Текст правил показує, що ніхто не може, або, включаючи не-ігрові ПК. Це не робить багато сенсу.
Microsoft стверджує, що Sony платить розробникам, щоб утримати ігри поза іграми
Microsoft не в захваті від коментарів Sony щодо виклику Call of Duty та горизонтальної конкуренції, і у нього є власні очки.
Дослідники стверджують, що розгадують таємниці механізму Антікітера
Дослідники, які працюють над аналізом механізму Антикідера, вважають, що вони, нарешті, можуть мати модель, яка повністю описує її функції та можливості.