توصيات Microsoft لتعطيل انتهاء صلاحية كلمة المرور: النتائج والاستنتاجات

كما تعلم بالفعل ، قامت Microsoft بتغيير دليل سياسة انتهاء صلاحية كلمة المرور الخاصة بها. في مايو 2019 ، نشروا منشورًا مدونًا يوضح فيه القرار.
يعرف خبراء الأمن السيبراني أن الشخص العادي لديه كلمة مرور ملائمة للدخول وبالتالي يسهل حمله على جهاز كمبيوتر. في الوقت نفسه ، لا تغير الحاجة إلى تغييره مرة واحدة كل بضعة أشهر حقيقة أن كلمات المرور هذه يسهل التقاطها. تتيح لك قوة أجهزة الكمبيوتر الحديثة فرض كلمة مرور مؤلفة من 8 أحرف أبجدية رقمية في بضع ساعات. لن يؤدي تغيير واحد أو اثنين من الأحرف الثمانية إلى جعل المهمة أكثر صعوبة.

لقد مر وقت طويل منذ إصدار توصيات Microsoft ، وحان الوقت لاستخلاص النتائج ، هل يستحق الأمر التخلص من تاريخ انتهاء صلاحية كلمة المرور تمامًا؟ في الواقع ، ليس بهذه البساطة.

سياسة انتهاء صلاحية كلمة المرور ليست سوى واحدة من الطوب في جدار الأمن السيبراني. لا تحصل على أحد أحجار الجدار إذا لم يكن لديك وسائل حماية أخرى للتعويض عن هذا الإجراء. لذلك ، من الأفضل التركيز على أكبر عوامل المخاطرة في المنظمة ووضع استراتيجية للأمن السيبراني بطريقة تقللها.

لماذا تتخلص من سياسات انتهاء صلاحية كلمة المرور؟

حجة Microsoft حول هذه المسألة هي أن سياسات انتهاء صلاحية كلمة المرور ذات قيمة ضئيلة من حيث أمن المعلومات. ونتيجة لذلك ، لم يعدوا يوصي باستخدامها واستبعدوا هذا العنصر من هيكل المستوى الأساسي للأمن السيبراني من Microsoft.

لكن Microsoft لا تطلب تعطيل جميع سياسات كلمة المرور الخاصة بك على الفور. يعلمون فقط أن استراتيجية الأمان الخاصة بك تحتاج إلى أكثر من مجرد انتهاء صلاحية كلمات المرور.

هل يجب أن أحذف سياسة كلمة المرور؟

يجب على معظم المؤسسات ترك سياسة انتهاء صلاحية كلمة المرور بدون تغيير. فكر في السؤال البسيط التالي: ماذا يحدث إذا سُرقت كلمة مرور من مستخدم؟
تساعد سياسات كلمة المرور في تقليل ضغط المهاجم عن طريق حظر قناة الوصول الحيوية الخاصة به داخل الشبكة. كلما كانت كلمة المرور أقصر ، قل الوقت المتبقي للتخلص من بيانات النظام وإخراج البيانات (إلا إذا استخدم المهاجم نقطة دخول أخرى). تعتقد Microsoft أن جميع السياسات نفسها ، التي تهدف مبدئيًا إلى إزالة كلمات المرور المخلة بالتناوب ، لا تشجع في الواقع سوى الممارسات السيئة - على سبيل المثال ، إعادة الاستخدام والتكرار الضعيف (vesna2019 ، leto2019 ، zima2019) لكلمات المرور ، أوراق الغش على الشاشات ، إلخ.

باختصار ، تعتقد Microsoft أن مخاطر ممارسات كلمة المرور السيئة هي في الواقع أعلى من فوائد تطبيق سياسات انتهاء الصلاحية. نحن في Varonis نتفق جزئياً مع هذا ، ولكن في الواقع هناك سوء فهم قوي لما تحتاجه الشركة لتكون مستعدة لرفض هذه السياسات.

يعزز هذا التغيير بشكل كبير من قابلية استخدام المستخدمين ويسهل تنفيذه ، ولكن في النهاية هناك فرصة لزيادة المخاطر الإجمالية فقط إذا كنت لا تتبع أفضل الممارسات الأخرى في الصناعة ، مثل:

• عبارات سرية : إجبار طويل (16 حرفًا أو أكثر) وكلمات المرور المعقدة تزيد من صعوبة كسرها. يتم تكسير المعيار القديم الذي لا يقل عن 8 أحرف في بضع ساعات على أجهزة الكمبيوتر الحديثة.
• نموذج للحد الأدنى من الوصول الضروري : في عالم لا تنتهك فيه الثبات مطلقًا ، من الأهمية بمكان معرفة أن المستخدم لديه حق الوصول فقط إلى الحد الأدنى الضروري من البيانات.
• تتبع السلوك : يجب أن تكون قادرًا على اكتشاف تسوية الحساب بناءً على الانحرافات عن الاستخدام العادي لتسجيل الدخول واستخدام البيانات غير القياسي. مجرد تحليل الإحصاءات في هذه الحالة لن يساعد.
• المصادقة متعددة العوامل : حتى لو كان المهاجم يعرف اسم المستخدم وكلمة المرور ، فإن المصادقة متعددة العوامل تشكل عقبة خطيرة للمهاجم العادي.

هل تموت كلمات المرور أخيرًا؟

هذا هو السؤال الرئيسي ، أليس كذلك؟

هناك العديد من التقنيات التي تسعى إلى استبدال كلمات المرور كبروتوكول مصادقة فعلي. FIDO2 بتخزين بيانات الاعتماد على جهاز فعلي. القياسات الحيوية ، على الرغم من الشكوك حول "التفرد ولكن عدم الخصوصية" ، هي أيضًا خيار محتمل.

النموذج الجديد هو البحث عن طرق المصادقة التي لا يمكن نقلها عن طريق الخطأ أو سرقتها بسهولة . لكن حتى الآن ، فإن هذه التقنيات لم تشق طريقها من الشركات
القطاعات في التيار الرئيسي. حتى ذلك الحين ، يوصي Varonis بترك سياسات انتهاء صلاحية كلمة المرور الخاصة بك دون تغيير ، والنظر في إزعاج المستخدمين ليكون صغيراً باسم الصالح العام.

كيف يساعد فارونيس في الحماية من سرقة الهوية

يوفر Varonis حماية إضافية لتعزيز سياسات كلمة المرور الخاصة بك. نحن نتعقب نشاط الملف ، والأحداث في Active Directory ، والقياس عن بعد المحيط والموارد الأخرى لبناء نموذج أساسي لسلوك المستخدم. ثم نقوم بمقارنتها بالسلوك الحالي استنادًا إلى نماذج التهديد المضمنة لفهم ما إذا كان الحساب قد تم اختراقه أم لا. تعرض لوحة معلومات Active Directory الحسابات المعرضة لخطر التسوية ، مثل حسابات الخدمة ذات الامتيازات الإدارية ، أو كلمة المرور دون تاريخ انتهاء الصلاحية ، أو عدم الامتثال للمتطلبات المحددة في السياسات. تكشف نماذج التهديد أيضًا عن أشكال مختلفة من الحالات الشاذة لتسجيل الدخول ، مثل الدخول في وقت غير قياسي من اليوم ، أو الدخول من جهاز جديد ، أو هجوم قاسي محتمل أو هجوم حصاد التذاكر.

حتى ذلك الحين ، من الأفضل ترك سياسات انتهاء صلاحية كلمة المرور الخاصة بك في مكانها الصحيح.

وإذا كنت تريد مشاهدة Varonis في العمل ، فقم بالتسجيل في العرض التوضيحي المباشر للهجمات الإلكترونية . سنعرض لك كيفية القيام بهجوم ، ونوضح لكيفية اكتشاف هذه الحوادث والتحقيق فيها على أساس نظامنا الأساسي.