Geekly articles weekly

Regelmäßige Passwortänderungen sind veraltet, es ist Zeit, sie aufzugeben

Viele IT-Systeme haben eine verbindliche Regel für das regelmäßige Ändern von Passwörtern. Dies ist vielleicht die am meisten gehasste und nutzloseste Anforderung an Sicherheitssysteme. Einige Benutzer als Life-Hack ändern einfach die Nummer am Ende.

Diese Praxis verursachte viele Unannehmlichkeiten. Die Menschen mussten jedoch ertragen, weil dies der Sicherheit dient . Jetzt ist dieser Rat völlig irrelevant. Im Mai 2019 hat sogar Microsoft die Anforderung, Kennwörter regelmäßig zu ändern, endgültig von der grundlegenden Sicherheitsstufe für Personal- und Serverversionen von Windows 10 gestrichen: Hier ist eine offizielle Blog-Erklärung, in der Änderungen an Windows 10 v 1903 aufgeführt sind (beachten Sie den Ausdruck Löschen des Kennworts Ablaufrichtlinien, die regelmäßige Kennwortänderungen erfordern ). Die Regeln und Systemrichtlinien von Windows 10 Version 1903 und Windows Server 2019 Security Baseline sind im Microsoft Security Compliance Toolkit 1.0 enthalten .

Sie können diese Dokumente Ihren Vorgesetzten zeigen und sagen: Die Zeiten haben sich geändert. Obligatorische Passwortänderung - Archaismus, jetzt fast offiziell. Selbst eine Sicherheitsüberprüfung überprüft diese Anforderung nicht mehr (wenn sie sich auf offizielle Regeln für den grundlegenden Schutz von Windows-Computern konzentriert).


Ein Ausschnitt aus der Liste mit grundlegenden Sicherheitsrichtlinien für Windows 10 v1809 und Änderungen im Jahr 1903, in denen die entsprechenden Kennwortablaufrichtlinien nicht mehr gelten. Übrigens werden in der neuen Version auch das Administrator- und das Gastkonto standardmäßig gelöscht.

Microsoft erklärt im Blog im Volksmund, warum es die Regel der obligatorischen Kennwortänderungen aufgegeben hat: „Das regelmäßige Ablaufen des Kennworts ist nur ein Schutz gegen die Wahrscheinlichkeit, dass das Kennwort (oder der Hash) während seiner Gültigkeitsdauer gestohlen und von einer nicht autorisierten Person verwendet wird. Wenn das Passwort nicht gestohlen wird, macht es keinen Sinn, es zu ändern. Und wenn Sie Beweise dafür haben, dass das Passwort gestohlen wurde, möchten Sie offensichtlich sofort handeln und nicht auf das Ablaufdatum warten, um das Problem zu beheben. “

Microsoft erklärt weiter, dass es unter modernen Bedingungen falsch ist, sich mit dieser Methode vor Passwortdiebstahl zu schützen: „Wenn bekannt ist, dass das Passwort wahrscheinlich gestohlen wird, wie viele Tage ist ein akzeptabler Zeitraum, damit der Dieb dieses gestohlene Passwort verwenden kann? Der Standardwert beträgt 42 Tage. Scheint das nicht lächerlich lange Zeit? Dies ist in der Tat eine sehr lange Zeit, und dennoch wurde unsere derzeitige Basislinie auf 60 Tage - und früher auf 90 Tage - festgelegt, da das Erzwingen eines häufigen Ablaufs seine eigenen Probleme mit sich bringt. Und wenn das Passwort nicht unbedingt gestohlen wird, erhalten Sie diese Probleme ohne Nutzen. Wenn Ihre Benutzer bereit sind, das Kennwort gegen Süßigkeiten auszutauschen, hilft keine Richtlinie zum Ablauf des Kennworts. “

Alternative


Microsoft schreibt, dass seine grundlegenden Sicherheitsrichtlinien für die Verwendung durch gut verwaltete, sicherheitsbewusste Unternehmen konzipiert sind. Sie sind auch aufgefordert, den Abschlussprüfern eine Anleitung zu geben. Wenn eine solche Organisation Listen verbotener Passwörter, Multi-Faktor-Authentifizierung, Erkennung von Angriffen mit Brute-Force-Passwörtern und Erkennung abnormaler Versuche, in das System einzutreten, implementiert hat, ist ein periodischer Ablauf des Passworts erforderlich? Und wenn sie keine modernen Sicherheitsfunktionen implementiert haben, hilft ihnen das Ablaufen des Passworts?

Die Logik von Microsoft ist überraschend überzeugend. Wir haben zwei Möglichkeiten:

  1. Das Unternehmen hat moderne Sicherheitsmaßnahmen umgesetzt.
  2. Das Unternehmen hat keine modernen Sicherheitsmaßnahmen umgesetzt.

Im ersten Fall bieten regelmäßige Kennwortänderungen keine zusätzlichen Vorteile.

Im zweiten Fall ist eine regelmäßige Kennwortänderung nutzlos.

Anstelle des Ablaufs des Kennworts muss daher zunächst die Multifaktorauthentifizierung verwendet werden . Weitere Sicherheitsmaßnahmen sind oben aufgeführt: Verbotene Kennwortlisten, Brute-Force-Erkennung und andere abnormale Anmeldeversuche.

"Das regelmäßige Ablaufen von Passwörtern ist eine alte und veraltete Sicherheitsmaßnahme ", fasst Microsoft zusammen, "und wir glauben nicht, dass ein bestimmter Wert für unsere grundlegende Schutzstufe verwendet werden sollte. Durch Entfernen von unserer Basisebene können Unternehmen auswählen, was ihren beabsichtigten Anforderungen am besten entspricht, ohne unseren Empfehlungen zu widersprechen. “

Fazit


Was könnte ein externer Beobachter denken, wenn ein Unternehmen Benutzer heute dazu zwingt, Kennwörter regelmäßig zu ändern?

  1. Gegeben: Das Unternehmen verwendet einen archaischen Abwehrmechanismus.
  2. Annahme: Das Unternehmen hat keine modernen Abwehrmechanismen implementiert.
  3. Fazit: Diese Passwörter sind einfacher zu bekommen und zu verwenden.

Es stellt sich heraus, dass die regelmäßige Änderung von Passwörtern das Unternehmen zu einem attraktiveren Ziel für Angriffe macht.




Source: https://habr.com/ru/post/de457036/

More articles:


All Articles