Microsoft取消了其 過時(shí)的 過時(shí)的 過期密碼策略

微軟聯(lián)合創(chuàng)始人比爾·蓋茨(Bill Gates)一直在預(yù)測(cè)密碼的使用將近20年。他們今天仍然在我們身邊，但是現(xiàn)在公司已經(jīng)決定是時(shí)候擺脫一種愚蠢的規(guī)則了，它首先使密碼成為一個(gè)問題：強(qiáng)制性的定期密碼更改。

該公司計(jì)劃在Windows 10 1903或2019年5月更新以及Windows Server 1903的安全配置基準(zhǔn)設(shè)置中刪除過期的密碼策略。

微軟首席顧問Aaron Margosis 解釋說： “定期密碼過期是一種非常低的價(jià)值，它是一種古老而過時(shí)的緩解措施，我們認(rèn)為對(duì)于基線而言，強(qiáng)制實(shí)施任何特定的值是不值得的。”

現(xiàn)在，組織將能夠選擇自己的密碼到期日期，或者選擇完全不設(shè)密碼。

正如Margosis解釋的那樣，定期強(qiáng)制用戶選擇新密碼僅是針對(duì)未經(jīng)授權(quán)的人竊取和使用的有效密碼或密碼哈希的防御。雖然該策略沒有提供太多保護(hù)，但確實(shí)會(huì)造成麻煩，使密碼成為一個(gè)更大的問題。

“當(dāng)人們被迫更改密碼時(shí)，他們經(jīng)常會(huì)對(duì)其現(xiàn)有密碼進(jìn)行微小且可預(yù)測(cè)的更改，并且/或者忘記了新密碼。當(dāng)密碼或相應(yīng)的哈希值被盜時(shí)，充其量很難做到。檢測(cè)或限制其未經(jīng)授權(quán)的使用。”

微軟的提議是在兩年前美國國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)對(duì)其密碼規(guī)則指南進(jìn)行全面修訂之后提出的，該指南刪除了定期的密碼更改和密碼復(fù)雜性要求。

該更新還建議組織檢查新密碼是否不是數(shù)據(jù)泄露中常見的糟糕密碼，例如“ 123456”或“ qwerty”，這是英國國家網(wǎng)絡(luò)安全中心對(duì)密碼泄露進(jìn)行分析時(shí)經(jīng)常發(fā)現(xiàn)的新密碼，以創(chuàng)建其 列表十萬個(gè)密碼中的十個(gè)。

Microsoft并未更改其對(duì)最小密碼長度，歷史記錄或復(fù)雜性的要求。它還建議使用諸如Azure Active Directory密碼保護(hù)工具之類的工具，管理員可以使用該工具禁止常見的密碼(例如“ password”)和其變體形式(例如“ p @ $$ word”)。

Margosis詳細(xì)介紹了現(xiàn)有基準(zhǔn)中的一些矛盾，這些矛盾使密碼到期策略完全無效。目前，Windows建議使用42天，而現(xiàn)有基準(zhǔn)是60天，過去是90天。

“如果假設(shè)密碼很可能會(huì)被盜，那么允許小偷繼續(xù)使用該被盜密碼的可接受時(shí)間是多少天?Windows默認(rèn)值為42天。這看起來似乎很可笑很久?” 問瑪格西斯。

更新的基準(zhǔn)可能會(huì)對(duì)使用Microsoft安全基準(zhǔn)的人員進(jìn)行審核的組織產(chǎn)生積極影響。

例如，一個(gè)組織可能已經(jīng)實(shí)施了禁止的密碼列表，兩因素身份驗(yàn)證和密碼攻擊檢測(cè)，但是如果發(fā)現(xiàn)它們不符合Microsoft的60天建議，則可能會(huì)在審核中受到處罰。

Margosis解釋說：“對(duì)于組織而言，在審核期間將合規(guī)性數(shù)字比實(shí)際的安全性更為重要是很正常的。”

“如果基準(zhǔn)建議使用60天的基準(zhǔn)，而擁有高級(jí)保護(hù)的組織則選擇365天(或根本沒有到期)，那么他們將不必要地參加審計(jì)，并可能被迫遵守60天的建議。”