|
|
29
Политика принудительного сброса пароля не улучшает безопасность пользователя
Несколько дней назад в своем официальном блоге компания Microsoft рассказала, что политики принудительного сброса пароля пользователя по своей сути являются почти что бесполезными мерами безопасности. Софтверный гигант считает, что это отжившая себя практика, не имеющая никакой ценности. Microsoft пока не собирается полностью отказываться от этих правил в своих продуктах, но в официальном блоге дала четко понять, что пароли со сроком годности никак не улучшают безопасность пользователя. Также компания перестанет рекомендовать регулярный сброс паролей для своих корпоративных клиентов. Microsoft объясняет, что, если пароль никогда не сливался и не числится в базе угнанных паролей, нет необходимости его менять. Если же есть подозрения, что третьи лица могли завладеть паролем, его надо менять немедленно, а не ждать истечения срока годности. Кроме того, сама по себе идея регулярной смены пароля ставит под угрозу его надежность. Пользователи с больше вероятностью запишут этот пароль в не самом надежном месте или вообще забудут его. Также компания добавила, что большое количество пользователей не следуют общепринятым практикам безопасности в Интернете, из-за чего любые правила и политики сводят безопасность на нет. Microsoft отметила, что существующие политики защиты паролей являются весьма проблемным и неоднозначным вопросом. Куда лучше использовать двухфакторную верификацию, а также «черный список паролей», который будет предотвращать установку простых или предсказуемых паролей. По мнению Софтверного гиганта это более надежный способ убедиться в том, что пароль не попадет в руки третьих лиц. Источник: Microsoft.
 Loading ...Комментарии (29)Вы должны быть зарегистрированы для написания комментариев. |
Политика принудительного сброса пароля- это ещё один способ лишний раз показать нам рекламу на сайтах Майкрософт.
Кто же от этого от откажется.
Причём тут сайт? Обновление пароля происходит в рамках учётной записи. И нацелены эти меры на корпоративных пользователей, например политиками домена. Для вас (обычного пользователя) ни кто ничего не ограничивает.
А как корпорация намерена сверять новый пароль с черным списком?
по хешу, вестимо
Аа, точно, что-то затупил:)
На практике не однократно сталкивался. Классика жанра: компьютер главного бухгалтера, пароль прикреплён отрывным стикером к монитору.
А некоторые, скажем так, не совсем молодые бухгалтера, пароль Aa1234567890 ну или что то в этом роде
Классика жанра. Даже если пароль будет VERmItEndFiNDSpo, то он будет на стикере и приклеен к монитору?. Я обычно людям у которых с фантазией напряг редкоменду либо сделать постоянную основу для пароля типа Iamzepass1. И потом каждый раз менять цифру типа Iamzepass2. Некоторые пишут название месяца Январь2019 Март2019. Вообщем с паролем не так много проблем как некоторым пользователям кажется. :)
Проблема тут одна - низкая, так сказать, культура безопасности отдельных пользователей, пишущих пароль на видном месте...
Ну так а что делать, если некоторые админы-умники настраивают принудительную замену пароля каждые 3 месяца, а то и чаще. Это ж дебилизм, запоминать каждый раз новый сложный пароль. Радует, что хоть в MS до этого допёрли.
Тут дело не в отдельных админах. Это корпоративные стандарты которые жёстко прописаны. Раньше это считалось очень даже хорошей защитой. С опытом пришло понимание, собственно и инженеры Microsoft к этому пришли.
Ну так сами же эти стандарты и прописывают. Админы или их руководство.
Не всегда, чаще выше приходит. Это только в мелких компаниях админы решают. Есть общепринятные политики безопасности им необходимо следовать. +-
Но я ещё раз повторюсь, я полностью разделяю точку зрения, что это скорее мешает. Людям доносить информацию нужно, обучать. А не держать в строгих рамках. Толку от того, что он изменил пароль если по ссылкам с котиками переходит и т.д.
как по мне лучше установить овер сложный пароль а этим самым бухгалтерам выдать отдельный аутентификатор где генерится пароль
наподобие Windows Hello со входом с временным пин
Представляю как угорит вторая линия поддержки, в сотый раз объясняя что это и как работает) И постоянно тусит в АД временно возвращая авторизацию по логину т.к. кто забыл/потерял токен)
выдаваться будет по приходу в офис)
В статье разве не об этом? У меня как раз пин каждые нные дни и просит поменять.
гляньте ветвь от первого сообщения, тема ветви именно об этом
По стандартам информационной безопасности, смена пароля пользователя должна происходить через каждые 28 дней. Связано это со сложностью подбора пароля при методе шифрования AES-256
Кто эти стандарты придумал? Вот пусть кто их выдумал, тот и меняет себе пароли каждые 28 дней, да ещё и сложные, и занимается их запоминанием, а не положенной ему работой. Какой может быть подбор по хэшу, если комп корпоративный в помещении с ограниченным доступом и подключается к корпоративной сети, в которой админ царь и бох? Нечего админам перекладывать свою работу по обеспечению безопасности на других работников.
Не поверите, их придумали умные дядьки, которые разработали AES-256. Аналитики из майков туда входят, вы пользуетесь ПО майков, значит опционально должны соблюдать предписания по информационной безопасности. Так же есть наш отечественный стандарт в этой области, в котором те же сроки, если вам интересно, то могу его найти, но вот там все намного строже в плане выполнения, точнее невыполенения некоторых пунктов. Вплоть до серьёзных штрафов на организацию.
Вопрос на засыпку.
Все знают что такое ХВ? Верно.
А что значит ХВ словарном запасе 4pda?
лучше бы поделились где именно встретили это, желательно ссылкой
В каждой статье, между строк. Иногда не между
даже поиском не нашёл
можете ткнуть? желательно и скрин, может индивидуальное отображение :)
Не могу. Забанят батенька админ
за что? за рекламу 4пда?)
Даю наводку
в новостной ленте не нашёл)
за заголовок статьи тоже забанят?
Хонор Велик