Microsoft стверджує, що примусові скидання паролів не покращують безпеку
Кожен, хто витратив більше декількох тижнів на роботу в корпоративному середовищі, справився з розчаруванням обов'язкових змін пароля. Однак ці дні, нарешті, можуть підійти до кінця. У недавній публікації блогу Microsoft визнала, що обов'язкові зміни паролів не підвищують безпеку і можуть зробити корпоративні мережі менш безпечними.
Протягом десятиліть практики Microsoft з базового пароля, надані клієнтам, пропонували змусити співробітників міняти свої паролі кожні 60 днів. За даними Microsoft Aaron Margosis, ця техніка є «давнім і застарілим пом'якшенням дуже низької вартості». Він походить від епохи, в якій люди могли б ділитися паролями, і з часом пароль може витекти з організації. Сьогоднішні порушення пароля відбуваються зі швидкістю світла, оскільки зловмисники викрадають дані і використовують графічні процесори, щоб вгадати паролі. Припускаючи, що пароль вкрадений, чи не 60 днів достатньо, щоб злодій міг скористатися ним? Кожен, хто збирається зробити реальну шкоду, зробить це задовго до того, як скинеться пароль.
Коли ви змушуєте користувачів часто змінювати паролі, вони, ймовірно, вибирають паролі, які легко запам'ятовувати. Дослідження показують, що такі паролі, напевно, найпростіше зламати в тому випадку, якщо хтось викраде хешированную базу даних і розв'язати на ній армію GPU. Наприклад, люди використовують словники словника з номерами, які замінюють літери, подібні для перегляду. Якщо ви змусите їх змінити цей пароль, вони, ймовірно, просто зроблять передбачувані зміни, які так само легко зламати.
Маргоз каже, що реалізація вимог, таких як списки заборонених паролів, багатофакторна аутентифікація, виявлення атак, що вгадують пароль, і виявлення аномальних спроб входу в систему змушують скинути застарілий пароль. Паролі за своєю суттю є проблематичними для забезпечення безпеки, тому змусити людей вибирати більш погані паролі не є найкращим підходом. Маргоз вказує, що Microsoft не змінює своїх керівних принципів щодо довжини, складності та історії паролів. Найбільш надійні паролі генеруються випадковим чином, і чим довше вони, тим краще.
Незважаючи на те, що корпорація Майкрософт перестане говорити організаціям про скидання пароля, вона не буде приймати власні поради відразу. Таймер скидання пароля в продуктах Windows Server ще 42 дні. Проте не дивно, що Microsoft змінить це значення за умовчанням у майбутніх версіях. Тим не менш, ІТ-працівники, які хочуть позбутися нудних і непотрібних скидів паролів, матимуть можливість показати вищі особи, щоб допомогти зробити свій випадок.