Microsoft IT administrátorům: pozor na „zastaralé“ praktiky resetování hesel (1)

Microsoft obrátil a tvrdí, že nutit uživatele k pravidelnému restartu hesel v předem nastavených časových intervalech nefunguje tak, jako ostatní bezpečnostní varianty.

Microsoft IT administrátorům: pozor na „zastaralé“ praktiky resetování hesel (1)


Microsoft v uplynulém týdnu doporučil organizacím, aby už svoje zaměstnance nenutily každých šedesát dní měnit heslo.

Společnost tuhle praktiku – kdysi základ podnikové správy identity – nazývá „zastaralou“ a IT administrátorům říká, že jiné přístupy jsou v oblasti zabezpečení uživatelů mnohem efektivnější.

„Pravidelné vypršení hesla je zastaralým řešením velice nízké hodnoty, a nemáme za to, že nám (…) ji stojí za to vynucovat,“ říká Aaron Margosis, hlavní konzultant Microsoftu, v příspěvku na blogu společnosti.

V nejnovějším dokumentu týkajícím se bezpečnostní konfigurace pro Windows 10 – který je jakýmsi náčrtem doposud chystané aktualizace May 2019 Update či 1903 – se Microsoft vzdal myšlenky, že by hesla bylo třeba pravidelně měnit. Tento dokument, tzv. Windows security configuration baseline, je masivní sbírkou doporučených pravidel skupiny a jejich nastavení, k nimž jsou přiloženy protokoly, skripty a analyzátory. Předchozí „baseline“ podnikům a dalším organizacím doporučovaly, aby změnu hesla vyžadovali každých 60 dní. (Což byl oproti předchozím 90 dnům podstatný pokles.)

To však už neplatí.

Margosis přiznává, že pravidla pro automatické vypršení hesel – a další skupinová pravidla, která nastavovala bezpečnostní standardy – jsou často zavádějící. „Malý soubor zastaralých pravidel pro hesla vynutitelných skrze bezpečnostní šablony Windows není a nemůže být kompletní bezpečnostní strategií pro správu přihlašovacích údajů uživatele,“ řekl. „Lepší praktiky však nemohou být vyjádřeny nastavenou hodnotou ve skupinových pravidlech a zakódovány do šablony.“

K těmto dalším, lepším praktikám patří podle Margosise třeba vícefaktorové ověřování, známé také jako dvoufaktorová autentifikace – a také zákaz slabých, zranitelných, snadno uhodnutelných či často odhalovaných hesel.

Microsoft není první, kdo o tomto pravidlu pochybuje.

Pokračování


Úvodní foto: © Scanrail - Fotolia.com




Komentáře