2019. August
Volume 34 Nummer 8
[Fangen Sie bitte nicht mit diesem Thema an]
Planänderung
Von David Platt | 2019. August
.jpg "David Platt")
Schweine werden fliegen. Hell ist das Einfrieren. Und Microsoft teilt Benutzern mit, dass Sie Ihre Kenn Wörter nicht mehr regelmäßig ändern müssen.
Das hört sich überraschend an und berücksichtigt alle Gedanken, die wir im Laufe der Jahre über die sorgfältige Durchführung von Kenn Wort Änderungen erhalten haben. Aber es ist wahr. Aaron Margosis, das im Microsoft-Sicherheits Leit Faden Blog (Bit.ly/2Lq4jUB) beschrieben wird, wie die Sicherheitsbaseline für Windows 10 und Windows Server geändert wird. dabei wird festgelegt, dass Microsoft die Richtlinien zum Ablauf von Kenn Wörtern löscht, die erfordern. regelmäßige Kenn Wort Änderungen. " Heiliger Toledo.
Margosis erläutert Folgendes: "Wenn Menschen gezwungen sind, ihre Kenn Wörter zu ändern, werden Sie zu häufig eine kleine und vorhersehbare Änderung an Ihren vorhandenen Kenn Wörtern vornehmen und/oder Ihre neuen Kenn Wörter vergessen." Er setzt eine sorgfältige Erörterung der Kosten für regelmäßige Kenn Wort Ablaufzeiten im Vergleich zu den Vorteilen der marginalen Sicherheit fort. Ich zeige vor allem, wie sich Margosis in die Schuhe seiner menschlichen Benutzer einfügt, anstatt zu hoffen, dass Sie etwas logischere machen werden. Ich empfehle Ihnen, den gesamten Teil zu lesen.
Er ist jedoch falsch. Benutzer verwenden diese Verknüpfung nicht zu oft. Jede einzelne Person, die ich je angefordert habe, kann Sie jedes Mal durchgehen. Dies geschieht, wenn Sie das "Problem Budget" eines Benutzers überschreiten, das in meiner Spalte vom April 2013 (MSDN.com/Magazine/dn166939.aspx) erläutert wurde.
Wir haben ungefähr Zeit, periodische zurück Stellungen zu entfernen. Sie sind nicht harmlos. Eine brutale Beschreibung der tödlichen Folgen der zu häufigen Kenn Wort zurück Stellungen finden Sie im letzten Kapitel "Do No Harm: Storys von Leben, Tod und Hirnoperation "von English Neurochirurg Henry Marsh (St. Martin, 2014). Für alle Sicherheits Architekten sollte das Lesen erforderlich sein.
Ich freue mich darauf, dass Microsoft Ideen aus dem Namen der rationalen Sicherheits Bewegung implementiert. Ich habe mich seit mindestens 2003 in meinem Newsletter bei Bit.ly/2xiK6I7 (der auch die Geburt meiner Tochter-Person angekündigt hat, die wahrscheinlich die Lizenz des Treibers zu dem Zeitpunkt erhält, den Sie lesen). Bruce Schneier schrieb in seinem ausgezeichneten Buch, "über die Angst: Denken Sie an die Sicherheit in einer unsicheren Welt (Kopernikus Bücher, 2003). Und Cormac Herley von Microsoft Research wurde untersucht, wie Benutzer diese Kompromisse in einem hervorragenden Papier mit dem Titel "so lange und ohne Dank der Externalitäten" treffen: Die rationale Ablehnung von Sicherheitsempfehlungen durch Benutzer "(Bit.ly/2LzdySL). In der IT-Abteilung deschreit "Herley" die Tiefe Ironie, dass viele Sicherheitsempfehlungen nicht nur mehr Schaden anrichten als "gut" (und daher abgelehnt), sondern mehr Schaden als die Angriffe, die Sie verhindern möchten, und nicht nur, weil Sie von Benutzern ignoriert werden.
Diese Änderungen werden jedoch nur langsam ausgeführt. Ich besuchte einen Harvard-Vortrag von Lorrie Cranor, einem Professor bei Carnegie Mellon, der das Unbehagen der Sicherheit und Nutzbarkeit studiert hat (sehen Sie sich das Video bei Bit.ly/2xfmV1tan). Sie war dann ein Gastwissenschaftler bei den USA. Das Wirtschaftsministerium, bei dem Sie sechs separate Systeme mit separaten Anmelde Informationen verwenden musste. Sie hat die Administratoren von zwei dieser Systeme überzeugen, dass das Zurücksetzen von Kenn Wörtern nicht kostengünstig war, aber trotz ihrer Recherche zum Thema (siehe Bit.ly/2RFKz0v) nicht die anderen Personen überzeugen können. Sie hat uns nicht mitgeteilt, aber ich werde Ihnen alles gefallen, dass Sie die letzte Ziffer Ihres abgelaufenen Kennworts für diese Systeme, wie alle anderen Personen im Universum, gerade in der letzten Ziffer angezeigt haben.
Ich frage mich, wann und ob diese Änderung in den internen Systemen von Microsoft funktionieren wird. Meine Freunde gibt an, dass dies bisher noch nicht der Fall war. Interessanterweise haben Sie aber schon gesagt: "Ich verwende mein Kennwort für die Anmeldung nicht mehr. Ich verwende einfach die Kamera auf meinem Laptop. " Dies bedeutet, dass es sich um Windows Hello handelt, mit dem Benutzer über die Gesichtserkennung authentifiziert werden. Wie ich schon immer gesagt habe: Benutzer sind träge, eine natürliche und unausweichliche Folge von Menschen. (Siehe meine erste Spalte, MSDN.com/Magazine/ee309884.) Wenn Sie etwas einfacher machen, werden die Benutzer darauf springen. (In ihrer Hektik sollten Sie Ihre biometrischen Daten rendern, ohne sich Gedanken über den Datenschutz zu machen, aber das ist ein Thema für einen anderen Tag.)
Ich bin so menschlich wie jeder andere Benutzer. Ich werde sicherstellen, dass der nächste Laptop über eine Kamera verfügt, von der er unterstützt wird, sodass ich die Verwendung von Kenn Wörtern auch nicht mehr tun kann.
David S. Platt unterrichtet Programmieren mit .NET an der Harvard University Extension School und in Unternehmen auf der ganzen Welt. Er ist Autor von 11 Büchern zum Programmieren, darunter „Why Software Sucks“ (Addison-Wesley Professional 2006) und „Introducing Microsoft .NET“ (Microsoft Press 2002). 2002 wurde er von Microsoft zur Softwarelegende ernannt. Er wundert sich, ob er zwei der Finger seiner Tochter nach unten bringen sollte, damit er die Anzahl der Zahlen im Oktal kennenlernen könnte. Sie erreichen ihn unter rollthunder.com.