Microsoft opušča obvezno menjanje gesel v Windows

Microsoft je naslednje v vrsti podjetij, ki so ugotovila, da obvezno menjanje gesel vsaka dva meseca (ali kaj podobnega) ni dobra varnostna praksa. Zato bodo iz novih inačic Windows 10 Version 1903 (19H1) ter Windows Server v1903 odstranili politiko poteka veljavnosti gesel. To pomeni, da gesla ne bodo več privzeto potekla, temveč bodo organizacije same vpeljale druge načine zaščite pred nepooblaščenim dostopom. To so na primer večstopenjska avtentikacija, zaznavanje napadov s poizkušanjem gesel, zaznavanje neobičajnih prijav, uvedba seznamov prepovedanih (prelahkih) gesel itd. Microsoft teh taktik ne bo vsiljeval, jih bo pa predlagal.

Zavedanje, da prisilno menjanje gesel v rednih časovnih intervalih ne prispeva k varnosti, se je okrepilo v zadnjih letih. Ameriški NIST je že pred tremi leti vladnim službam svetoval, da opustijo to politiko in menjavo gesel zahtevajo le ob zaznani nepooblaščeni aktivnosti. Aaron Margosis iz Microsofta sedaj pojasnjuje, da je obvezno menjanje gesel napačna metodologija; namesto tega bi morali gesla vsakokrat zamenjati, ko se začne dogajati kaj čudnega, ne pa preprosto čakati, da potečejo.

Na prvi pogled se sicer zdi obvezno menjanje gesel dobra metoda, še zlasti če je geslo nezlomljivo v času, v katerem velja. V resnici pa od ljudi ne moremo pričakovati, da si bodo redno izmišljevali ali (še teže) zapomnili generirana močna gesla, ne da bi jih kam zapisali. Zato sedaj že odpisana taktika v resnici zmanjšuje varnost. Njena ukinitev brez uvedbe kakršnikoli novih varnostnih postopkov tako ne zmanjšuje varnosti, temveč jo raje izboljšuje.