Password expiration is dead – Artık Şifrelerimiz için Kullanımı Süresi Sınırlamasına Gerek Yok Mu?
Malum her yeni güncelleme, yama ile bizim gibi danışmanlarda gelen yeni özellikleri merak eder ve özellikle aktif çalıştığımız müşterileri ilgilendiren kritik bir değişiklik var mı diye kontrol ederiz. Daha sonra buna göre müşterimize bilgi verir ve gerekli olması halinde aksiyon planı çıkarırız. Geçtiğimiz aylarda Windows 10 1903 ile pek çok müşterimizde çalışma yaptık. Özellikle OS sıkılaştırma güvenlik için çok önemli bir başlık olduğundan 1903 sürümü için yeni yayınlanan “security configuration baseline settings- güvenlik yapılandırması temel ayarları” nı kontrol ettiğimiz zaman bir değişiklik gözümüze çarptı. Artık şifre değiştirme politikasının uygulanmaması bir zafiyet olarak görülmüyor. Yani Microsoft’ ın kendisi yayınladığı dokumanda artık bu noktada güvenlik en iyi yapılandırma önerilerinden bu öneriyi kaldırdı.
Eğer detaylı incelemek isterseniz aşağıdaki link üzerinden sizde indirebilirsiniz;
Microsoft Security Compliance Toolkit 1.0
https://www.microsoft.com/en-us/download/details.aspx?id=55319
1809 için önerilen ayarları kontrol ettiğinizde şifre yaşam süresi için aşağıdaki gibi öneride bulunmaktaydı;
Bu aslında hepimizin çok iyi bildiği bir öneri ve güvenlik önlemidir. Ancak 1903 için aynı dokümanı açtığınız zaman artık böyle bir öneri göremiyoruz;
Burada önemli bir nokta var. Yukarıda da gördüğünüz gibi sadece periyodik olarak şifre güncelleme ilkesi kaldırılmış durumda, diğer şifre ilkeleri hala devam ediyor.
Peki neden?
Aslında pek çok nedeni var ama temel olarak baktığımız zaman şifreleri verdiğimiz son kullanıcıların bu şifreleri değiştirirken kolay hatırlanabilir şifreler atadığını, hatta şifre değiştirme politikası gereği örneğin şifrenin süresinin dolması halinde yeni şifrenin de mevcut şifreye çok yakın bir şifre olarak atandığını biliyoruz. Hatta periyodik şifre değişiminin tek amacı aslında olası bir şifre çalınmasına karşılık bu şifreyi kullanan kişi veya kişilerin vereceği zararları azaltmak içindir. Eğer şifre çalınmamış ise değişmesine gerek yoktur. Veya çalınmış ise zaten hemen değiştiriyoruz. Yani aslında modern güvenlik önlemleri olan yasaklı şifreler listesi (banned-password lists), multi-factor authentication – MFA /2FA, şifre denemelerini tespit eden sistemler (detection of password-guessing attacks), kimlik koruması için kullanıcı davranış analizi yazılımları (detection of anomalous login attempts) ya da en basiti şifre denemelerine karşı lock policy gibi destekleyici koruma yöntemlerinin bir arada kullanılması durumunda periyodik olarak şifre değiştirme ilkesine artık ihtiyaç yoktur.
Evet, aynen Microsoft’ un yaklaşımı bu noktada yukarıdaki gibi özetlenebilir. Peki ben neden bu yazıyı paylaşıyorum? Sağlık taraması yapan ve özellikle şifre politikaları, lock policy, stale Account gibi konularda çok hassas olan birisi olarak bu yorumun sizi yanıltmaması için. Günün sonunda modern teknolojiler ile özellikle kimlik avı bir hayli zorlaşmış olsa da ne yazık ki ülkemizde yukarıdaki teknolojileri bir arada kullanabilecek şirket sayısı gerçekten çok azdır. Aslında biz danışmanlar olarak üründen öte temel ayar değişiklikleri ile gelecek olası kimlik ataklarını %85 oranında çözüyoruz. Çünkü iyi bir sıkılaştırmadan geçirilmiş domain, sunucu ve istemciler aslında hiçbir ek programa gerek kalmadan pek çok ataktan kendini koruyabilir. Basit bir örnek vermek gerekir ise dış dünyaya RDP portu açık bir windows işletim sistemini kendisini hiçbir 3 parti ürün olmadan nasıl korur?
Eğer ortamınızda bu tarz yeni teknolojiler var ise bende Microsoft’ a katılıyorum ve artık şifrelerin periyodik olarak değiştirilmesi ile kullanıcı destek ekiplerinin uğraşmasına gerek yok. Ancak bu tarz önlemleriniz yok ise ne yazık ki en temel güvenlik ayarlarından birisi olan Maximum password age için rakam girmeye devam.
Evet, bu tarz haberler duymanıza karşın olayın detaylarını bilmeniz için hazırladığım bu yazı umarım faydalı olmuştur.