Microsoft sada kaže da lozinke za Windows 10 ne moraju isteći: vrijeme je da druge tvrtke to obrate na znanje

Istek lozinki je zastarjeli način zaštite korisničkih računa – i možda čak čini više štete nego koristi. Ne samo da lozinke koje istječu svakih 30 ili 60 dana stvaraju glavobolju korisnicima koji moraju smisliti novu i zapamtiti je, one možda uopće neće poboljšati sigurnost.

Sada je Microsoft promijenio svoj stav, uklonivši preporuka da lozinke isteknu nakon određenog razdoblja koje je prethodno bilo dio njegovih sigurnosnih smjernica za Windows 10 i Windows Server. Microsoft je najavio svoju namjeru odbaciti istek lozinke kada objavljen je nacrt smjernica, o čemu je pisao moj kolega Liam Tung.

Kao što Microsoft objašnjava: "Periodični istek lozinke je obrana samo protiv vjerojatnosti da će lozinka (ili hash) biti ukradena tijekom razdoblja valjanosti i da će je koristiti neovlašteni subjekt. Ako lozinka nikada nije ukradena, nema potrebe da istekne. A ako imate dokaze da je lozinka ukradena, vjerojatno biste odmah djelovali umjesto da čekate isteka za rješavanje problema." Nastavlja se: "Periodični istek lozinke drevna je i zastarjela mjera za ublažavanje vrlo niske vrijednost."

VIDJETI: 30 stvari koje nikada ne biste trebali raditi u Microsoft Officeu (besplatan PDF)

Umjesto da ovise o tome da korisnici mijenjaju lozinke (i zatim ih zapisuju na samoljepljivu ceduljicu), tvrtke bi trebale imati širi pristup autentifikaciji i sigurnosti, kaže se. I ne znači da ne mijenjamo zahtjeve za minimalnu duljinu lozinke, povijest ili složenost. Izbacivanje isteka lozinke izvan osnovne vrijednosti znači da tvrtke mogu same donositi odluke bez da ih revizori kazne, priopćila je tvrtka.

"Uklanjanjem iz naše osnovne vrijednosti umjesto da preporučujemo određenu vrijednost ili bez isteka, organizacije mogu izabrati ono što najbolje odgovara njihovim percipiranim potrebama, a da ne proturječe našim smjernicama. Pritom moramo ponoviti da mi snažno preporučiti dodatnu zaštitu iako se ona ne može izraziti u našim osnovnim vrijednostima", rečeno je.

Microsoft je predviđao smrt lozinke više od desetljeća, a nedavno je pojačao svoje napore da to i ostvari. Dugo se tvrdilo da su lozinke nezgodne, nesigurne i skupe za tvrtke. Tvrdi da bi ih trebalo zamijeniti višestrukom autentifikacijom i biometrijom (iako biometrija također ima svoje probleme).

Teško da je Microsoft sam u ovom skoku. Britanski nacionalni centar za kibernetičku sigurnost (NCSC) nedavno je objavio a skup najboljih praksi za lozinke – upozorenje da loša strategija za lozinke koja stavlja preveliki pritisak na korisnike može učiniti vaše poslovanje manje sigurnim, ne više.

"Korisnici će neizbježno osmisliti vlastite mehanizme za suočavanje s 'preopterećenošću lozinkom'. To uključuje ponovnu upotrebu iste lozinke u različitim sustavima, korištenje jednostavnih i predvidljivih strategija za izradu lozinki ili zapisivanje lozinki na mjestu gdje ih je lako pronaći", upozorava se.

NCSC predlaže da organizacije smanje svoje oslanjanje na lozinke i koriste jedinstvenu prijavu ili biometriju gdje su dostupni (iako biometrija posebno dolazi s vlastitim rizicima). Praćenje sustava lozinki za neuobičajeno ponašanje, korištenje prigušivanja računa za obranu od napada brutalnom silom i stavljanje na crnu listu uobičajenih lozinki ili lozinki koje se mogu pogoditi dobra su praksa, navodi se. Višefaktorska autentifikacija za važne ili ranjive račune također je dobra politika.

VIDJETI: Kibernetička sigurnost u IoT i mobilnom svijetu (ZDNet posebno izvješće) | Preuzmite izvješće kao PDF (TechRepublic)

Ali prisiljavanje na redovite promjene lozinki više šteti nego poboljšava sigurnost, rečeno je. Korisnici će vjerojatno odabrati nove lozinke koje su samo manje varijacije starih, au svakom slučaju lozinku koji je ukraden hakeri obično koriste odmah, tako da je resetiranje do 90 dana kasnije prilično gubitak vrijeme.

Unatoč tome što stručnjaci za sigurnost propisuju vrijeme za pravila isteka lozinki, još uvijek je uobičajeno u mnogim, ako ne i većini organizacija, da lozinke istječu nakon relativno kratkog vremenskog razdoblja. Uglavnom je to zbog organizacijske inercije – bilo je vremena kada se redovito mijenjanje lozinki još uvijek činilo kao dobra ideja, a novi pristup nije se filtrirao sve do tima za tehničku sigurnost. Također postoji mnogo opreza oko mijenjanja IT politika; nitko ne želi biti taj koji će promijeniti status quo, a zatim biti okrivljen kad krene po zlu.

Ali postoji mnogo tvrtki koje se uglavnom oslanjaju na agresivnu politiku isteka lozinke njihova jedina obrana protiv otmice računa, dok u stvarnosti sigurnost mora ići mnogo dalje da. Barem za sada, lozinke još uvijek imaju svoje mjesto, ali tjeranje da smišljamo nove varijante svakih nekoliko tjedana moglo bi uskoro biti stvar prošlosti.