العديد من أنظمة تكنولوجيا المعلومات لديها قاعدة إلزامية لتغيير كلمات المرور بشكل دوري. ربما هذا هو المطلب الأكثر كرهًا وعديم الجدوى لأنظمة الأمن. يقوم بعض المستخدمين كاختراق مدى الحياة ببساطة بتغيير الرقم في النهاية.

تسببت هذه الممارسة الكثير من الإزعاج. ومع ذلك ، كان على الناس تحمل ، لأن هذا هو للسلامة . الآن هذه النصيحة ليست ذات صلة تماما. في مايو 2019 ، قامت Microsoft أخيرًا بإزالة متطلبات تغيير كلمات المرور بشكل دوري من المستوى الأساسي لمتطلبات الأمان للإصدارات الشخصية وخوادم نظام التشغيل Windows 10: فيما يلي بيان مدونة رسمي يسرد التغييرات على نظام التشغيل Windows 10 v 1903 (لاحظ العبارة " إسقاط كلمة المرور" سياسات انتهاء الصلاحية التي تتطلب تغييرات كلمة المرور الدورية ). يتم تضمين القواعد وسياسات النظام الخاصة بأنظمة التشغيل Windows 10 الإصدار 1903 و Windows Server 2019 Security Baseline في Microsoft Security Compliance Toolkit 1.0 .

يمكنك عرض هذه المستندات على رؤسائك والقول: لقد تغيرت الأوقات. تغيير كلمة المرور الإلزامية - الأثرية ، الآن بشكل رسمي تقريبا. حتى تدقيق الأمان لن يتحقق هذا المطلب (إذا كان يركز على القواعد الرسمية للحماية الأساسية لأجهزة الكمبيوتر التي تعمل بنظام Windows).


مقتطف من القائمة مع سياسات الأمان الأساسية لنظام التشغيل Windows 10 v1809 والتغييرات في عام 1903 ، حيث لم تعد سياسات انتهاء صلاحية كلمة المرور المقابلة تنطبق. بالمناسبة ، في الإصدار الجديد ، يتم أيضًا إلغاء حسابات المسؤول والضيف بشكل افتراضي.

تشرح Microsoft بشكل عام على المدونة سبب تخليها عن قاعدة تغييرات كلمة المرور الإلزامية: "انتهاء الصلاحية الدوري لكلمة المرور هو فقط الحماية من احتمال سرقة كلمة المرور (أو التجزئة) خلال فترة صلاحيتها وسيتم استخدامها من قبل شخص غير مصرح له. إذا لم يتم سرقة كلمة المرور ، فلا فائدة من تغييرها. وإذا كان لديك دليل على سرقة كلمة المرور ، فمن الواضح أنك تريد التصرف على الفور وعدم انتظار تاريخ انتهاء الصلاحية لإصلاح المشكلة. "

تشرح Microsoft كذلك أنه في الظروف الحديثة ، من الخطأ حماية نفسك من سرقة كلمة المرور باستخدام هذه الطريقة: "إذا كان من المعروف أن كلمة المرور من المحتمل أن تُسرق ، فكم من الأيام فترة زمنية مقبولة للسماح للسارق باستخدام كلمة المرور المسروقة؟ القيمة الافتراضية هي 42 يومًا. لا يبدو ذلك وقتا طويلا يبعث على السخرية؟ في الواقع ، هذا وقت طويل للغاية ، ومع ذلك تم تعيين خط الأساس الحالي لدينا على 60 يومًا - وقبل 90 يومًا - لأن فرض انتهاء الصلاحية المتكرر يقدم مشاكله الخاصة. وإذا لم يتم سرقة كلمة المرور بالضرورة ، فإنك تحصل على هذه المشاكل دون أي فائدة. بالإضافة إلى ذلك ، إذا كان المستخدمون لديك على استعداد لتبادل كلمة المرور للحلوى ، فلن تساعد أي سياسة انتهاء صلاحية لكلمة المرور. "

البديل

تكتب Microsoft أن سياسات الأمان الأساسية الخاصة بها مصممة للاستخدام من قبل المؤسسات التي تدار بشكل جيد وتعي بالأمان. كما أنها مدعوة لتقديم التوجيه للمراجعين. إذا نفذت مثل هذه المنظمة قوائم بكلمات المرور المحظورة ، والمصادقة متعددة العوامل ، والكشف عن الهجمات بكلمات مرور القوة الغاشمة واكتشاف محاولات غير طبيعية لدخول النظام ، فهل ستكون هناك حاجة إلى انتهاء صلاحية كلمة المرور بصفة دورية؟ وإذا لم تقم بتطبيق ميزات الأمان الحديثة ، فهل سيساعد انتهاء صلاحية كلمة المرور؟

منطق مايكروسوفت مقنع بشكل مدهش. لدينا خياران:

1. نفذت الشركة تدابير أمنية حديثة.
   
2. لم تنفذ الشركة التدابير الأمنية الحديثة.

في الحالة الأولى ، لا تقدم تغييرات كلمة المرور الدورية مزايا إضافية.

في الحالة الثانية ، تغيير كلمة المرور الدورية غير مجدية.

وبالتالي ، بدلاً من انتهاء صلاحية كلمة المرور ، من الضروري أولاً استخدام المصادقة متعددة العوامل . يتم سرد التدابير الأمنية الإضافية أعلاه: قوائم كلمات المرور المحظورة ، واكتشاف القوة الغاشمة ، وغيرها من محاولات تسجيل الدخول غير الطبيعية.

"إن انتهاء صلاحية كلمة المرور الدورية هو إجراء أمني قديم وعفا عليه الزمن " ، يلخص Microsoft ، ولا نعتقد أنه يجب استخدام أي قيمة محددة لمستوى الحماية الأساسي لدينا. عن طريق إزالته من مستوى الأساس لدينا ، يمكن للمؤسسات اختيار ما يناسب احتياجاتهم المقصودة ، دون تعارض توصياتنا. "

استنتاج

إذا كانت إحدى الشركات اليوم تجبر المستخدمين على تغيير كلمات المرور بشكل دوري ، فما الذي قد يفكر فيه مراقب خارجي؟

1. المقدمة: تستخدم الشركة آلية دفاع قديمة.
   
2. الافتراض: الشركة لم تنفذ آليات الدفاع الحديثة.
   
3. الخلاصة: كلمات المرور هذه أسهل في الحصول عليها واستخدامها.

اتضح أن التغيير الدوري لكلمات المرور يجعل الشركة هدفًا أكثر جاذبية للهجمات.

---