考虑安全密码很困难,因此要求用户每60天更改一次密码会使许多人感到恐惧,并导致安全性降低。微软已经意识到这一点,并决定删除默认密码到期作为Windows 10中的安全基准功能。
当组织将Windows 10部署到数十,数百甚至数千名员工时,默认的安全性非常重要。这就是Microsoft提供Windows安全基准的原因,该基准由一组Microsoft推荐的配置设置组成,可以依靠这些设置来提供更安全的操作系统。
作为基准的一部分,Microsoft过去规定了60天的密码过期策略,这意味着每个用户都必须每隔几个月更改一次密码(除非组织更改了配置)。正如Ars Technica报道的那样,随着Windows 10 v1903的发行,密码过期已从基准中删除,因为它实际上对安全性有害。
微软在其最新的Windows安全基准草案中解释说:“当人们被迫更改密码时,他们经常会对其现有密码进行较小且可预测的更改,并且/或者忘记了他们的新密码...定期密码有效期仅是针对在有效期内密码(或散列)将被盗并由未授权实体使用的可能性的防御。如果密码从未被盗,则无需将其过期。”
微软还指出,如果密码被盗,则根据此过期策略,小偷最多可以有60天的时间来使用它,这是获得进入系统并引起混乱的充足时间。因此,在每个级别上,密码过期都根本不起作用,这就是它消失的原因。
密码仍然需要满足最小长度要求,密码必须足够复杂以免被轻易猜到,以前从未使用过并且无法安全存储。各个组织可能仍然会执行自己的过期政策,但似乎每隔几个月对新密码的需求可能会影响更少的工作人员,这对于他们的理智和安全都是一件好事。
标签: Microsoft