Prijavi se z GoogleID

» »

Microsoft opušča obvezno menjanje gesel v Windows

Microsoft opušča obvezno menjanje gesel v Windows

Slo-Tech - Microsoft je naslednje v vrsti podjetij, ki so ugotovila, da obvezno menjanje gesel vsaka dva meseca (ali kaj podobnega) ni dobra varnostna praksa. Zato bodo iz novih inačic Windows 10 Version 1903 (19H1) ter Windows Server v1903 odstranili politiko poteka veljavnosti gesel. To pomeni, da gesla ne bodo več privzeto potekla, temveč bodo organizacije same vpeljale druge načine zaščite pred nepooblaščenim dostopom. To so na primer večstopenjska avtentikacija, zaznavanje napadov s poizkušanjem gesel, zaznavanje neobičajnih prijav, uvedba seznamov prepovedanih (prelahkih) gesel itd. Microsoft teh taktik ne bo vsiljeval, jih bo pa predlagal.

Zavedanje, da prisilno menjanje gesel v rednih časovnih intervalih ne prispeva k varnosti, se je okrepilo v zadnjih letih. Ameriški NIST je že pred tremi leti vladnim službam svetoval, da opustijo to politiko in menjavo gesel zahtevajo le ob zaznani nepooblaščeni aktivnosti. Aaron Margosis iz Microsofta sedaj pojasnjuje, da je obvezno menjanje gesel napačna metodologija; namesto tega bi morali gesla vsakokrat zamenjati, ko se začne dogajati kaj čudnega, ne pa preprosto čakati, da potečejo.

Na prvi pogled se sicer zdi obvezno menjanje gesel dobra metoda, še zlasti če je geslo nezlomljivo v času, v katerem velja. V resnici pa od ljudi ne moremo pričakovati, da si bodo redno izmišljevali ali (še teže) zapomnili generirana močna gesla, ne da bi jih kam zapisali. Zato sedaj že odpisana taktika v resnici zmanjšuje varnost. Njena ukinitev brez uvedbe kakršnikoli novih varnostnih postopkov tako ne zmanjšuje varnosti, temveč jo raje izboljšuje.

8 komentarjev

LeQuack ::

Windows 10 gre bolj in bolj proti Windows 7, zgleda so vidli da sploh ne poznajo navad svojih uborabnikov, navkljub ogromnim podatkom iz telmetrije.
Quack !

Phantomeye ::

hm ... meni odkar imam w10 še ni bilo treba menjati gesla .. to velja za kako posebno razlicico?

MrStein ::

1.) gre za osnutek: the draft release of the security configuration baseline settings for Windows 10 version 1903

2.)

[Aaron Margosis] I think you might be misunderstanding what we're doing. You can still configure password expiration if you want (where "want" can include "we're forced to by some regulation"). The password-expiration security option is still in Windows and will remain there. We are simply no longer recommending it as part of our GPO-centric security baselines.


Torej so v resnici spremembe praktično nične. Gre za spremembo v priporočilih.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

k4vz0024 ::

Ko bi vsaj v Windows 10 vsaj spoštovali zasebnost pred škodljivo posodobitvijo Windows 7. Pa updajte naj pustijo uporabniku, če se bo zanje odločil. Tako je treba Windows 10 oklestila vohunske kode in zamrzniti upate.

Key Quest ::

Phantomeye je izjavil:

hm ... meni odkar imam w10 še ni bilo treba menjati gesla .. to velja za kako posebno razlicico?


Ko ustvarjas racun v domeni, ti kot privzeto nastavitev predlaga potek veljavnosti gesla po dolocenem casu.

Phantomeye ::

Key Quest je izjavil:

Phantomeye je izjavil:

hm ... meni odkar imam w10 še ni bilo treba menjati gesla .. to velja za kako posebno razlicico?


Ko ustvarjas racun v domeni, ti kot privzeto nastavitev predlaga potek veljavnosti gesla po dolocenem casu.


Torej praktično pravila za podjetja.

Mr.B ::

Key Quest je izjavil:

Phantomeye je izjavil:

hm ... meni odkar imam w10 še ni bilo treba menjati gesla .. to velja za kako posebno razlicico?


Ko ustvarjas racun v domeni, ti kot privzeto nastavitev predlaga potek veljavnosti gesla po dolocenem casu.

Sej imaš možnost nastaviti vrednosti globalno ter granularno na skupino/oddelek/vlogo.

Phantomeye je izjavil:

Key Quest je izjavil:

Phantomeye je izjavil:

hm ... meni odkar imam w10 še ni bilo treba menjati gesla .. to velja za kako posebno razlicico?


Ko ustvarjas racun v domeni, ti kot privzeto nastavitev predlaga potek veljavnosti gesla po dolocenem casu.


Torej praktično pravila za podjetja.

večina podjetij itak nima nadzora, če kdo brutforca račun. Potem pa nastavijo na tri gesla, in se veselijo uporabniške podpore, brez self password reseta.
Ignoranca JS, da poskrbi za lastno pokojnino,
je neodgovorna. Ampak sej veste jamrati po toči je...

Zgodovina sprememb…

  • predlagal izbris: Key Quest ()

Spegli ::

Pri nas, ko se ujezimo, nastavimo celo štiri gesla.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Nov vrhunec digitalne transformacije v slovenskem zdravstvu: do podatkov zdravstveneg (strani: 1 2 3 4 )

Oddelek: Novice / Zasebnost
18317218 (3575) SeMiNeSanja
»

Izguba administratorskih pravic kot sudo uporabnik (strani: 1 2 )

Oddelek: Pomoč in nasveti
653397 (1344) SeMiNeSanja
»

Slabi časi za zasebnost v Androidu (strani: 1 2 )

Oddelek: Novice / Varnost
7213638 (9238) matijadmin

A kdo ve, adult sajti

Oddelek: Loža
101996 (1113) BigWhale
»

EnaA in njihov katastrofalni sistem za odjavo od spam-a (strani: 1 2 )

Oddelek: Informacijska varnost
679429 (5554) fosil

Več podobnih tem