Припиніть ротацію паролів: чому ми виключили правило «кожні 90 днів» зі звітів про пентести

Роками контрольні списки безпеки розглядалися примусове закінчення терміну дії пароля як євангеліє. Кожні 30, 60 або 90 днів користувачам доводилося вигадувати новий рядок символів і цифр — або ж вони стикалися з екраном блокування. Сьогодні провідні органи зі стандартизації погоджуються: це правило контрпродуктивне, і ми видалили його з усіх результатів веб-застосунків у наших звітах про тестування на проникнення.

Що змінилося?

Основні стандарти

• НІСТ 800‑63B прямо зазначається, що верифікатори «НЕ ПОВИНЕН вимагати довільної зміни запам'ятованих секретів». (Сторінки NIST)
• Велика Британія Національний центр кібербезпеки (NCSC) попереджає, що примусове закінчення терміну дії «завдає шкоди безпеці, а не покращує її».NCSC)
• Microsoft виключила політики закінчення терміну дії паролів зі своєї базової бази безпеки Windows, назвавши їх низькоцінними порівняно з багатофакторною автентифікацією (MFA) та моніторингом порушень.технічна спільнота)

Чому ми відмовилися від результатів ротації паролів

Під час пентестування веб-застосунків ми раніше позначали «Термін дії пароля має закінчуватися кожні X днів», коли цей параметр був відсутній. Тепер ця рекомендація знята. Ось чому:

1. Поведінка в реальному світі перевершує теорію. Користувачі реагують на постійні скидання налаштувань, повторюючи налаштування («Пароль1!» → «Пароль2!») або записуючи паролі.
2. Сучасні засоби керування перевершують його. Багатофакторна автентифікація, API сповіщень про порушення та ключі доступу значно ефективніше знизити ризик.
3. Узгодження стандартів. Наші клієнти здійснюють порівняння з NIST, ISO 27001, SOC 2 та CIS; жоден з них більше не вимагає періодичного скидання налаштувань, якщо немає підозри на компрометацію.

Що ми рекомендуємо замість цього

1. Одна довга, унікальна парольна фраза на обліковий запис – чотирьох чи п’яти випадкових слів цілком достатньо.
2. Увімкніть багатофакторну автентифікацію або, краще, перейдіть до ключі доступу/FIDO2 де пароль повністю зникає.
3. Слідкуйте за компромісомінтегрувати “мати ibeenpwned«або подібні витоки даних та примусово скидають налаштування лише у разі витоку облікових даних або різкого зростання підозрілої активності».
4. Використовуйте менеджер паролів, наш вибір Бітюрден щоб персонал ніколи не використовував секрети повторно в різних системах.
5. Переглянути спільні/сервісні облікові записи щорічно; якщо вони не можуть використовувати багатофакторну автентифікацію (MFA), заплануйте ручну зміну.

Підсумок для CISO

Обов'язкове закінчення терміну дії мало сенс, коли паролі були єдиним захистом. У 2025 році це пережиток, який виснажує продуктивність і слабшає стан безпеки. Узгоджуючи свої політики з NIST, NCSC та Microsoft, а також використовуючи MFA та ключі доступу, ви отримуєте надійніший захист. та щасливіші користувачі.

Ми продовжимо виявляти реальні вразливості під час вашого наступного тесту на проникнення, але ви більше не побачите «30-денну ротацію пароля» у списку дій.