รหัสผ่านหมดอายุรหัสผ่านของคุณจะใช้งานได้นาน — OPDEV.MEN

รหัสผ่านหมดอายุรหัสผ่านของคุณจะใช้งานได้นาน thumbnail

พฤษภาคมเป็นเดือนที่สำคัญซึ่งเป็นชัยชนะของสติและลัทธิปฏิบัตินิยมมากกว่าความหวาดระแวงไร้เหตุผล เห็นได้ชัดว่าฉันไม่ได้พูดเรื่องการเมือง ฉันกำลังพูดถึง Microsoft ในที่สุด – ในที่สุด! แต่ให้เครดิตกับพวกเขาสำหรับการทำเช่นนี้! – ลบนโยบายการหมดอายุของรหัสผ่านออกจากพื้นฐานความปลอดภัย Windows 10 ถึงแม้ว่า NIST และคนอื่น ๆ จะนำหน้าสิ่งนี้และสมควรได้รับเครดิตนั้นฉันคิดว่ามันคุ้มค่าที่จะสละเวลาสักครู่เพื่อรับรู้ช่วงเวลานี้ในเวลาซึ่งเป็นการเปลี่ยนแปลงที่แท้จริงในอุตสาหกรรม – SwiftOnSecurity (@SwiftOnSecurity) 31 พฤษภาคม 2019 องค์กรระดับองค์กรหลายแห่ง (รวมถึง Verizon เจ้าของ TechCrunch) กำหนดให้ผู้ใช้เปลี่ยนรหัสผ่านเป็นประจำ นี่เป็นนโยบายต่อต้านผลประโยชน์ อ้าง Microsoft: การวิจัยทางวิทยาศาสตร์เมื่อไม่นานมานี้ได้ถามถึงคุณค่าของแนวทางปฏิบัติด้านความปลอดภัยของรหัสผ่านที่ยาวนานมานานเช่นนโยบายการหมดอายุรหัสผ่านและชี้ไปที่ทางเลือกที่ดีกว่า … หากรหัสผ่านไม่ถูกขโมยก็ไม่จำเป็นต้องหมดอายุ และหากคุณมีหลักฐานว่ารหัสผ่านถูกขโมยไปคุณน่าจะกระทำได้ทันทีแทนที่จะรอให้หมดอายุเพื่อแก้ไขปัญหา … หากองค์กรประสบความสำเร็จในการใช้รายการรหัสผ่านต้องห้ามการตรวจสอบหลายปัจจัยการตรวจจับการโจมตีด้วยการเดารหัสผ่านและการตรวจสอบความพยายามในการเข้าสู่ระบบผิดปกติพวกเขาต้องการการหมดอายุของรหัสผ่านเป็นระยะ ๆ หรือไม่? และหากพวกเขาไม่ได้ใช้มาตรการลดความทันสมัยพวกเขาจะได้รับความคุ้มครองจากการหมดอายุของรหัสผ่านมากเพียงใด … การหมดอายุของรหัสผ่านเป็นระยะ ๆ เป็นการลดค่าโบราณและล้าสมัยที่มีค่าต่ำมาก หากคุณมีรหัสผ่านที่องค์กรดังกล่าวฉันขอแนะนำให้คุณส่งโพสต์บล็อกนั้นไปยังผู้ดูแลระบบ แน่นอนว่าพวกเขาจะไม่สนใจคุณในตอนแรกเพราะนั่นคือสิ่งที่ผู้ดูแลระบบขององค์กรทำและเพราะความปลอดภัยของข้อมูล (เช่นความปลอดภัยในการขนส่ง) มักจะเป็นวงล้อทางเดียวที่ไม่มีเหตุผลเพราะวัฒนธรรมแห่งความกลัวของเรา อาจเริ่มต้นอย่างไม่เต็มใจที่จะยอมรับว่าโลกได้ก้าวต่อไป ใช้ตัวจัดการรหัสผ่านแทน LastPass หรือ 1Password แทน (พวกเขามีชั้นฟรีที่ทำงานได้จริง ๆ คุณไม่มีข้อแก้ตัว) ใช้เพื่อกำจัดหรืออย่างน้อยก็ลดการใช้รหัสผ่านให้น้อยที่สุดในเว็บไซต์ต่างๆ ใช้การรับรองความถูกต้องด้วยสองปัจจัยหากทำได้ ใช่แม้กระทั่งการรับรองความถูกต้องแบบสองปัจจัยทาง SMS แม้จะมีการโจมตีหมายเลขและการโจมตี SS7 เพราะมันยังดีกว่าการตรวจสอบแบบตัวประกอบ และโปรดถ้าคุณทำงานกับรหัสหรือที่เก็บข้อมูลหยุดตรวจสอบรหัสผ่านและคีย์ API ของคุณลงใน repos ของคุณ ฉันเป็น CTO ของการให้คำปรึกษาและคุณจะประหลาดใจที่ลูกค้ามาหาเราด้วยการตั้งค่าที่โชคร้ายนี้กี่ครั้ง การเข้าถึงพื้นที่เก็บข้อมูลนั้นไม่ละเอียดนัก repos จะถูกคัดลอกได้ง่ายและ / หรือสำเนาถูกวางผิดที่และเมื่อคุณตรวจสอบข้อมูลประจำตัวแล้วพวกเขาอาจจะยุ่งยากในการลบอย่างแท้จริง การใช้สิ่งที่เรียบง่ายเหมือนตัวแปรสภาพแวดล้อมแทนนั้นเป็นขั้นตอนที่ยิ่งใหญ่และยังทำให้ชีวิตของคุณง่ายขึ้นในหลาย ๆ ทางเมื่อทำงานกับหลาย ๆ สภาพแวดล้อม การรักษาความปลอดภัยที่สมบูรณ์แบบไม่มีอยู่จริง ความปลอดภัยระดับโลกนั้นยาก แต่โดยทั่วไปความปลอดภัยที่ดีนั้นสามารถเข้าถึงได้ถ้าคุณทำตามกฎพื้นฐานบางอย่าง ในการดำเนินการดังกล่าวคุณควรปฏิบัติตามกฎเหล่านั้นให้น้อยที่สุดและกำจัดกฎที่ไม่สมเหตุสมผล การหมดอายุรหัสผ่านเป็นหนึ่งในนั้น ลาก่อนและมีการจัดการที่ดี
ดูข้อมูลเพิ่มเติม จากแหล่งเว็บไซต์ข่าว

Facebook Comments