Microsoft v uplynulém týdnu doporučil organizacím, aby už svoje zaměstnance nenutily každých šedesát dní měnit heslo.
Společnost tuhle praktiku – kdysi základ podnikové správy identity – nazývá „zastaralou“ a IT administrátorům říká, že jiné přístupy jsou v oblasti zabezpečení uživatelů mnohem efektivnější.
„Pravidelné vypršení hesla je zastaralým řešením velice nízké hodnoty, a nemáme za to, že nám (…) ji stojí za to vynucovat,“ říká Aaron Margosis, hlavní konzultant Microsoftu, v příspěvku na blogu společnosti.
V nejnovějším dokumentu týkajícím se bezpečnostní konfigurace pro Windows 10 – který je jakýmsi náčrtem doposud chystané aktualizace May 2019 Update či 1903 – se Microsoft vzdal myšlenky, že by hesla bylo třeba pravidelně měnit. Tento dokument, tzv. Windows security configuration baseline, je masivní sbírkou doporučených pravidel skupiny a jejich nastavení, k nimž jsou přiloženy protokoly, skripty a analyzátory. Předchozí „baseline“ podnikům a dalším organizacím doporučovaly, aby změnu hesla vyžadovali každých 60 dní. (Což byl oproti předchozím 90 dnům podstatný pokles.)
To však už neplatí.
Margosis přiznává, že pravidla pro automatické vypršení hesel – a další skupinová pravidla, která nastavovala bezpečnostní standardy – jsou často zavádějící. „Malý soubor zastaralých pravidel pro hesla vynutitelných skrze bezpečnostní šablony Windows není a nemůže být kompletní bezpečnostní strategií pro správu přihlašovacích údajů uživatele,“ řekl. „Lepší praktiky však nemohou být vyjádřeny nastavenou hodnotou ve skupinových pravidlech a zakódovány do šablony.“
K těmto dalším, lepším praktikám patří podle Margosise třeba vícefaktorové ověřování, známé také jako dvoufaktorová autentifikace – a také zákaz slabých, zranitelných, snadno uhodnutelných či často odhalovaných hesel.
Microsoft není první, kdo o tomto pravidlu pochybuje.