Пользователь
Британские ученые выяснили, что пароли не нужно менять регулярно, если нет подозрения на компрометацию.
Вместо этого, все сервисы которые опубликованы и доступны снаружи должны быть с 2/MFA.
Все пароли должны храниться в Менеджерах паролей. Единственный пароль который должен помнить пользователь, это от самого Менеджера паролей.
Длинна имеет значения. Длинный пароль из простых символов, надежнее чем пароль из одного сложного символа.
Если верить квантовым технологиям, пароль одновременно надёжный и скомпрометированный, пока на него не посмотрят.
Можно еще статью про простые пароли написать. Есть вечные темы со времен когда динозавры работали на win xp.
Хотел донести, что всякие ограничения по ip и прочее это не решение - это заплатка.
И если это всем известно и понятно - почему до сих пор используют, а потом огребают. Значит не существует еще убедительных доводов.
Только один вопрос. Если вы находите публичный корпоративный почтовый адрес и начинаете блочить (неверный пароль) учетки по маске - причем здесь Exchange?
Вы креды не на почтовом сервере вводить же будете.
Вы про эксплоиты забыли и смысл "не публиковать вообще ни чего с сервера на прямую" включая информацию что сервера у вас на Windows.
Вы рассматриваете атаки только за один шаг, а бывает и сложнее.
гипотетически
Британские ученые выяснили, что пароли не нужно менять регулярно, если нет подозрения на компрометацию.
Вместо этого, все сервисы которые опубликованы и доступны снаружи должны быть с 2/MFA.
Все пароли должны храниться в Менеджерах паролей. Единственный пароль который должен помнить пользователь, это от самого Менеджера паролей.
Длинна имеет значения. Длинный пароль из простых символов, надежнее чем пароль из одного сложного символа.
Если верить квантовым технологиям, пароль одновременно надёжный и скомпрометированный, пока на него не посмотрят.
Можно еще статью про простые пароли написать. Есть вечные темы со времен когда динозавры работали на win xp.
Хотел донести, что всякие ограничения по ip и прочее это не решение - это заплатка.
И если это всем известно и понятно - почему до сих пор используют, а потом огребают. Значит не существует еще убедительных доводов.
Только один вопрос. Если вы находите публичный корпоративный почтовый адрес и начинаете блочить (неверный пароль) учетки по маске - причем здесь Exchange?
Вы креды не на почтовом сервере вводить же будете.
Вы про эксплоиты забыли и смысл "не публиковать вообще ни чего с сервера на прямую" включая информацию что сервера у вас на Windows.
Вы рассматриваете атаки только за один шаг, а бывает и сложнее.
гипотетически