Geekly articles weekly

El cambio periódico de contraseña es una práctica desactualizada, es hora de abandonarla

Muchos sistemas de TI tienen una regla obligatoria para cambiar periódicamente las contraseñas. Este es quizás el requisito más odiado e inútil de los sistemas de seguridad. Algunos usuarios como piratas informáticos simplemente cambian el número al final.

Esta práctica causó muchos inconvenientes. Sin embargo, la gente tuvo que soportar, porque esto es por seguridad . Ahora este consejo es completamente irrelevante. En mayo de 2019, incluso Microsoft finalmente eliminó el requisito de cambiar periódicamente las contraseñas del nivel básico de requisitos de seguridad para las versiones personales y de servidor de Windows 10: aquí hay una declaración oficial del blog con una lista de cambios a Windows 10 v 1903 (tenga en cuenta la frase Dejar caer la contraseña -políticas de caducidad que requieren cambios periódicos de contraseña ). Las reglas y políticas del sistema en sí mismas de Windows 10 Versión 1903 y Windows Server 2019 Security Baseline se incluyen en Microsoft Security Compliance Toolkit 1.0 .

Puede mostrar estos documentos a sus superiores y decir: los tiempos han cambiado. Cambio obligatorio de contraseña: arcaísmo, ahora casi oficialmente. Incluso una auditoría de seguridad ya no verificará este requisito (si se centra en las reglas oficiales para la protección básica de las computadoras con Windows).


Un fragmento de la lista con políticas de seguridad básicas para Windows 10 v1809 y cambios en 1903, donde las políticas de caducidad de contraseña correspondientes ya no se aplican. Por cierto, en la nueva versión, las cuentas de administrador e invitado también se cancelan de manera predeterminada.

Microsoft explica popularmente en el blog por qué abandonó la regla de los cambios obligatorios de contraseña: “La expiración periódica de la contraseña es solo protección contra la probabilidad de que la contraseña (o hash) sea robada durante su período de validez y sea utilizada por una persona no autorizada. Si no se roba la contraseña, no tiene sentido cambiarla. Y si tiene evidencia de que la contraseña ha sido robada, obviamente desea actuar de inmediato y no esperar a la fecha de vencimiento para solucionar el problema ".

Microsoft explica además que en las condiciones modernas es incorrecto protegerse del robo de contraseñas utilizando este método: “Si se sabe que es probable que la roben, ¿cuántos días es un período de tiempo aceptable para permitir que el ladrón use esta contraseña robada? El valor predeterminado es 42 días. ¿No parece eso ridículamente largo tiempo? De hecho, esto es mucho tiempo y, sin embargo, nuestra línea de base actual se ha establecido en 60 días, y antes en 90 días, porque forzar la expiración frecuente presenta sus propios problemas. Y si la contraseña no es necesariamente robada, entonces obtiene estos problemas sin ningún beneficio. Además, si sus usuarios están dispuestos a cambiar la contraseña por dulces, ninguna política de caducidad de la contraseña ayudará ".

Alternativa


Microsoft escribe que sus políticas de seguridad básicas están diseñadas para ser utilizadas por empresas bien administradas y conscientes de la seguridad. También se les pide que brinden orientación a los auditores. Si dicha organización ha implementado listas de contraseñas prohibidas, autenticación de múltiples factores, detección de ataques con contraseñas de fuerza bruta y detección de intentos anormales de ingresar al sistema, ¿se requiere una caducidad periódica de la contraseña? Y si no han implementado características de seguridad modernas, ¿les ayudará la expiración de la contraseña?

La lógica de Microsoft es sorprendentemente convincente. Tenemos dos opciones:

  1. La compañía ha implementado medidas de seguridad modernas.
  2. La compañía no ha implementado medidas de seguridad modernas.

En el primer caso, los cambios periódicos de contraseña no brindan beneficios adicionales.

En el segundo caso, un cambio periódico de contraseña es inútil.

Por lo tanto, en lugar de la caducidad de la contraseña, es necesario utilizar, en primer lugar, la autenticación multifactor . Las medidas de seguridad adicionales se enumeran anteriormente: listas de contraseñas prohibidas, detección de fuerza bruta y otros intentos de inicio de sesión anormales.

" La caducidad periódica de la contraseña es una medida de seguridad antigua y desactualizada ", resume Microsoft, "y no creemos que se deba utilizar ningún valor específico para nuestro nivel de protección básico. Al eliminarlo de nuestro nivel base, las organizaciones pueden elegir lo que mejor se adapte a sus necesidades, sin contradecir nuestras recomendaciones ".

Conclusión


Si una empresa hoy obliga a los usuarios a cambiar periódicamente las contraseñas, ¿qué podría pensar un observador externo?

  1. Dado: La empresa utiliza un mecanismo de defensa arcaico.
  2. Asunción: la compañía no ha implementado mecanismos modernos de defensa.
  3. Conclusión: estas contraseñas son más fáciles de obtener y usar.

Resulta que el cambio periódico de contraseñas hace de la empresa un objetivo más atractivo para los ataques.




Source: https://habr.com/ru/post/457036/

More articles:


All Articles