Microsoft nie zaleca cyklicznego resetowania haseł

Microsoft nie zaleca cyklicznego resetowania haseł

 Krzysztof Sulikowski
Krzysztof Sulikowski
21:35
24.04.2019
359 wyświetleń

Jedną z praktyk zapobiegających naruszeniom bezpieczeństwa w firmach jest wymaganie od użytkowników cyklicznego wprowadzania nowego hasła. Microsoft nie uznaje jej jednak za skuteczną. W nowych standardach bezpieczeństwa dla Windows 10 v1903 oraz Windows Server v1903 gigant uznaje zasadę cyklicznej zmiany haseł za przestarzały, antyczny wręcz środek zapobiegawczy o niskiej wartości.

Na blogu Microsoft Security Guidance firma szczegółowo omawia nowe wytyczne. Microsoft porzuca wprawdzie zasady wygaszania haseł, ale nie proponuje zmian co do minimalnej ich długości, historii i złożoności.

Cykliczne wygaszanie hasła chroni wyłącznie przed prawdopodobieństwem, że hasło (albo hash) zostanie wykradzione w okresie ważności i zostanie użyte przed nieuprawniony podmiot. Jeżeli hasło nigdy nie było wykradzione, nie ma potrzeby jego wygaszania. A jeśli macie dowody, że hasło zostało wykradzione, prawdopodobnie powinniście zareagować natychmiastowo zamiast czekać na wygaśnięcie, by rozwiązało ten problem.
– Aaron Margosis, Principal Consultant w Microsoft

Microsoft powołuje się na współczesne badania, które podają w wątpliwość skuteczność wielu długoterminowych praktyk związanych z hasłami, w tym ich wygaszania, i wskazują na lepsze alternatywy, takie jak wymuszanie listy zabronionych haseł i uwierzytelnianie wieloskładnikowe. Microsoft oczywiście je zaleca, ale nie może ich wymusić ani zawrzeć w security baseline.

Wszystkie produkty Microsoft w jednym miejscu - Sklep CentrumXP


Spodobał Ci się ten artykuł? Podziel się z innymi!

Źródło: https://blogs.technet.microsoft.com/secguide/2019/04/24/security-baseline-draft-for-windows-10-v1903-and-windows-server-v1903/

Polecamy również w kategorii Bezpieczeństwo