CyberbezpieczeństwoPolecane tematy
Regularna zmiana haseł nie gwarantuje bezpieczeństwa
Microsoft nie będzie zalecał administratorom wymuszania na użytkownikach okresowej zmiany haseł dostępu. Takie zalecenie nie znalazło się bowiem w projekcie dokumentacji przedstawiającej podstawową, zalecaną konfigurację ustawień z zakresu bezpieczeństwa dla systemów Windows 10 o Windows Server Windows 2019 w wersji 1903.
Do tej pory standardowym zaleceniem – a w wielu konfiguracjach ustawieniem domyślnym – była zasada wymagania od użytkowników zmiany hasła co 60 dni. Wcześniej okres ten wynosił 90 dni. W efekcie, w wielu organizacjach użytkownicy nie mają nic do powiedzenia w tej kwestii i po 2 miesiącach od ostatniej zmiany hasła zdefiniowanie nowego jest warunkiem koniecznym do zalogowania się do konta. Ta praktyka znana jest pracownikom dużych organizacji od blisko dwóch dekad i dla wielu osób jest to coś absolutnie naturalnego.
Niestety, z obserwacji specjalistów ds. bezpieczeństwa, również tych zatrudnionych w firmie Microsoft wynika, że typowe hasło nie jest już skuteczną metodą zabezpieczania dostępu i ich regularne, wymuszone, zmienianie niewiele zmienia w tej kwestii. Przyznaje to bezpośrednio firma z Redmond – we wpisie opublikowanym na firmowym blogu czytamy wprost: “Nie ma wątpliwości co do tego, że stan bezpieczeństwa opartego o hasła jest i od dawna był problematyczny. Gdy użytkownicy samodzielnie tworzą swoje hasła, sa one bardzo często zbyt łatwe do odgadnięcia lub przewidzenia. Jeśli zmuszamy użytkowników do regularnej zmiany haseł, nad wyraz często zdarza się, że dla wygody nowe hasła są zapisywane w miejscach, w których mogą zostać odczytane przez innych (…) lub tworzą łatwe do odgadnięcia wariacje istniejących haseł”.
Stąd właśnie decyzja o zrezygnowaniu z dalszego zalecania administratorom Windows 10 oraz Windows Server 2019 dalszego podtrzymywania wymogu definiowania nowego hasła co dwa miesiące. Zamiast tego Microsoft zaleca stosowanie bardziej nowoczesnych i wielokrotnie bardziej efektywnych rozwiązań podnoszących bezpieczeństwo, takich jak np. uwierzytelnianie wieloetapowe (w którym oprócz podania podstawowego hasła niezbędne jest skorzystanie np. z aplikacji autoryzacyjnej lub wpisanie hasła SMS), a także wprowadzenia w organizacjach czarnych list zabronionych haseł (które blokować będą możliwość zdefiniowania fraz zbyt łatwych do odgadnięcia) oraz obowiązku stosowania odpowiednio skomplikowanych haseł (np. zawierających określone znaki/symbole).
Warto w tym miejscu zaznaczyć, że Microsoft nie jest pierwszą organizacją, która rezygnuje z wymuszania okresowej zmiany haseł – w 2017 roku amerykański National Institute of Standards and Technology (NIST) zdecydowanie opowiedział się za porzuceniem tej praktyki, opisując ją jako nieskuteczną i potencjalnie niebezpieczną ponieważ zachęca użytkowników do definiowania zbyt prostych lub tylko minimalnie zmodyfikowanych haseł.