Microsoft confirme le changement de mot de passe Windows 10 que personne n'a vu
Demandez à un groupe de professeurs de sécurité de créer un mot de passe sécurisé et vous obtiendrez diverses réponses. Certains diront que c'est une question de longueur, d'autres que le hasard et la complexité sont les maîtres mots, alors que tout le monde conviendra que la réutilisation des mots de passe n'est jamais acceptable. Certains continueront à affirmer que l'attribution d'une date d'expiration aux mots de passe, après laquelle ils doivent être modifiés, constitue un élément important de la stratégie de sécurité de l'entreprise. Il semble que, avec l’arrivée de la mise à jour de Windows 10 mai, Microsoft ne fera plus partie de ce dernier groupe. Selon Aaron Margosis, consultant en chef chez Microsoft, Windows 10 ne recommandera plus l’expiration périodique des mots de passe "anciens et obsolètes" dans les paramètres de base de la sécurité commençant par la mise à jour de mai. Bien que vous soyez chaleureusement accueilli, il faut dire que personne dans l’industrie de la sécurité de l’information avec qui j’ai parlé n’a vu ce qui se passait. Notamment, les arguments en faveur de l’expiration du mot de passe ont été complètement désassemblés depuis quelques années maintenant, mais Microsoft n’a montré aucune propension à sortir de ce naufrage de la sécurité.
La configuration de la ligne de base de la sécurité fait partie du régime Windows de l'enjeu Windows pour les entreprises qui souhaitent disposer de paramètres de système d'exploitation sécurisés prêts à l'emploi depuis de nombreuses années. En fait, il s’agit d’une stratégie système entièrement définie qui constitue un bon point de départ pour des positions sûres pour de nombreuses personnes et en tant que position standard pour certains. Les choses deviennent problématiques pour les entreprises lors de l'examen d'un audit qui utilise la base de sécurité de Microsoft et qui les pénalise pour non-conformité si elles ont une autre chose que la norme actuelle d'expiration du mot de passe Windows de 60 jours. encore, comme l'écrit Margosis "Les recherches scientifiques récentes soulèvent des questions sur la valeur de nombreuses pratiques de sécurité des mots de passe de longue date, telles que les stratégies d'expiration des mots de passe, et proposent plutôt de meilleures solutions, telles que l'application de listes de mots de passe interdites et l'authentification à plusieurs facteurs."
L'Institut national des normes et de la technologie des États-Unis (NIST) a recommandé que le mot de passe expire de la politique de sécurité depuis 2016. Il semble maintenant que Microsoft ait finalement accepté et publiera la revendication de Windows 10 (1903) et Windows Server (1903). Cela me donne un sens parfait en tant que personne qui a suivi les tendances de la sécurité de l’information au cours des trois dernières décennies. Les choses ont changé au fil des ans, notamment la technologie qui permet désormais aux acteurs du muguet de casser des mots de passe simples sur les yeux. Forcer les utilisateurs à changer de mot de passe dans des délais relativement brefs oblige inévitablement les utilisateurs à choisir les mots de passe les plus simples, et donc les plus mémorables, possibles. Relevez les personnes qui n'ont jamais vu la numérotation étape par étape de mots de passe courts dans un environnement d'entreprise. Je suppose que tout le monde est toujours assis.
Les jours où les mots de passe simplifiés avaient changé étaient souvent révolus, remplacés par des mots plus longs et plus complexes qui n'expiraient pas, mais étaient enrichis par les listes de mots de passe interdits et l'authentification à plusieurs facteurs, par exemple. "Bien que nous recommandions ces options, elles ne peuvent pas être exprimées ou appliquées avec nos lignes de base de configuration de sécurité recommandées", a déclaré Margosis, "basées sur les paramètres de stratégie de groupe intégrés de Windows, et ne peuvent pas contenir de valeurs spécifiques au client". Ce que Microsoft ne modifie pas, modifie les exigences de base en ce qui concerne la longueur minimale du mot de passe, l’historique ou la complexité. Cela n'empêche pas non plus les entreprises de configurer l'expiration du mot de passe si elles doivent, par exemple, se conformer aux exigences réglementaires. "L’option de sécurité relative à l’expiration du mot de passe existe toujours dans Windows et le restera", ajoute-t-elle, "en le retirant de notre base de référence plutôt que de recommander une valeur spécifique ou de ne pas expirer, les organisations peuvent choisir celle qui leur convient le mieux. besoins perçus sans s'opposer à l'orientation. "
« >
Demandez à un groupe de professeurs de sécurité de créer un mot de passe sécurisé et vous obtiendrez diverses réponses. Certains diront que c'est une question de longueur, d'autres que le hasard et la complexité sont les maîtres mots, alors que tout le monde conviendra que la réutilisation des mots de passe n'est jamais acceptable. Certains continueront à affirmer que l'attribution d'une date d'expiration aux mots de passe, après laquelle ils doivent être modifiés, constitue un élément important de la stratégie de sécurité de l'entreprise. Il semble que, avec l’arrivée de la mise à jour de Windows 10 mai, Microsoft ne fera plus partie de ce dernier groupe. Selon Aaron Margosis, consultant en chef chez Microsoft, Windows 10 ne recommandera plus l’expiration périodique des mots de passe "anciens et obsolètes" dans les paramètres de base de la sécurité commençant par la mise à jour de mai. Bien que vous soyez chaleureusement accueilli, il faut dire que personne dans l’industrie de la sécurité de l’information avec qui j’ai parlé n’a vu ce qui se passait. Notamment, les arguments en faveur de l’expiration du mot de passe ont été complètement désassemblés depuis quelques années maintenant, mais Microsoft n’a montré aucune propension à sortir de ce naufrage de la sécurité.
La configuration de la ligne de base de la sécurité fait partie du régime Windows de l'enjeu Windows pour les entreprises qui souhaitent disposer de paramètres de système d'exploitation sécurisés prêts à l'emploi depuis de nombreuses années. En fait, il s’agit d’une stratégie système entièrement définie qui constitue un bon point de départ pour des positions sûres pour de nombreuses personnes et en tant que position standard pour certains. Les choses deviennent problématiques pour les entreprises lors de l'examen d'un audit qui utilise la base de sécurité de Microsoft et qui les pénalise pour non-conformité si elles ont une autre chose que la norme actuelle d'expiration du mot de passe Windows de 60 jours. Pourtant, comme l'écrit Margosis, "des recherches scientifiques récentes remettent en question la valeur de nombreuses pratiques de sécurité des mots de passe de longue date, telles que les stratégies d'expiration des mots de passe, et suggèrent plutôt de meilleures solutions, telles que l'application de listes de mots de passe interdits et l'authentification à plusieurs facteurs".
L'Institut national des normes et de la technologie des États-Unis (NIST) a recommandé que le mot de passe expire de la politique de sécurité depuis 2016. Il semble maintenant que Microsoft ait finalement accepté et publiera la revendication de Windows 10 (1903) et Windows Server (1903). Cela me donne un sens parfait en tant que personne qui a suivi les tendances de la sécurité de l’information au cours des trois dernières décennies. Les choses ont changé au fil des ans, notamment la technologie qui permet désormais aux acteurs du muguet de casser des mots de passe simples sur les yeux. Forcer les utilisateurs à changer de mot de passe dans des délais relativement brefs oblige inévitablement les utilisateurs à choisir les mots de passe les plus simples, et donc les plus mémorables, possibles. Relevez les personnes qui n'ont jamais vu la numérotation étape par étape de mots de passe courts dans un environnement d'entreprise. Je suppose que tout le monde est toujours assis.
Les jours où les mots de passe simplifiés avaient changé étaient souvent révolus, remplacés par des mots plus longs et plus complexes qui n'expiraient pas, mais étaient enrichis par les listes de mots de passe interdits et l'authentification à plusieurs facteurs, par exemple. "Bien que nous recommandions ces options, elles ne peuvent pas être exprimées ou appliquées avec nos lignes de base de configuration de sécurité recommandées", déclare Margosis "sur la base des paramètres de stratégie de groupe intégrés de Windows & ne peut inclure de valeurs propres au client. "Ce que Microsoft modifie les exigences de base en termes de longueur, d'historique ou de complexité du mot de passe. Cela n'empêche pas les entreprises de configurer l'expiration du mot de passe si elles doivent, par exemple, se conformer aux exigences réglementaires." L'option de sécurité relative à l'expiration du mot de passe reste sous Windows et resteront là ", dit Margosis, ajoutant" en les retirant de notre base de référence, plutôt que de recommander une valeur particulière ou l'absence d'expiration, les organisations peuvent choisir celle qui correspond le mieux à leurs besoins perçus sans résister à nos conseils. ".
Commentaires
Laisser un commentaire