Microsoft取消了其 過時的 過時的 過期密碼策略

微軟聯(lián)合創(chuàng)始人比爾·蓋茨(Bill Gates)一直在預測密碼的使用將近20年。他們今天仍然在我們身邊，但是現(xiàn)在公司已經(jīng)決定是時候擺脫一種愚蠢的規(guī)則了，它首先使密碼成為一個問題：強制性的定期密碼更改。

該公司計劃在Windows 10 1903或2019年5月更新以及Windows Server 1903的安全配置基準設(shè)置中刪除過期的密碼策略。

微軟首席顧問Aaron Margosis 解釋說： “定期密碼過期是一種非常低的價值，它是一種古老而過時的緩解措施，我們認為對于基線而言，強制實施任何特定的值是不值得的。”

現(xiàn)在，組織將能夠選擇自己的密碼到期日期，或者選擇完全不設(shè)密碼。

正如Margosis解釋的那樣，定期強制用戶選擇新密碼僅是針對未經(jīng)授權(quán)的人竊取和使用的有效密碼或密碼哈希的防御。雖然該策略沒有提供太多保護，但確實會造成麻煩，使密碼成為一個更大的問題。

“當人們被迫更改密碼時，他們經(jīng)常會對其現(xiàn)有密碼進行微小且可預測的更改，并且/或者忘記了新密碼。當密碼或相應的哈希值被盜時，充其量很難做到。檢測或限制其未經(jīng)授權(quán)的使用。”

微軟的提議是在兩年前美國國家標準技術(shù)研究院(NIST)對其密碼規(guī)則指南進行全面修訂之后提出的，該指南刪除了定期的密碼更改和密碼復雜性要求。

該更新還建議組織檢查新密碼是否不是數(shù)據(jù)泄露中常見的糟糕密碼，例如“ 123456”或“ qwerty”，這是英國國家網(wǎng)絡(luò)安全中心對密碼泄露進行分析時經(jīng)常發(fā)現(xiàn)的新密碼，以創(chuàng)建其 列表十萬個密碼中的十個。

Microsoft并未更改其對最小密碼長度，歷史記錄或復雜性的要求。它還建議使用諸如Azure Active Directory密碼保護工具之類的工具，管理員可以使用該工具禁止常見的密碼(例如“ password”)和其變體形式(例如“ p @ $$ word”)。

Margosis詳細介紹了現(xiàn)有基準中的一些矛盾，這些矛盾使密碼到期策略完全無效。目前，Windows建議使用42天，而現(xiàn)有基準是60天，過去是90天。

“如果假設(shè)密碼很可能會被盜，那么允許小偷繼續(xù)使用該被盜密碼的可接受時間是多少天?Windows默認值為42天。這看起來似乎很可笑很久?” 問瑪格西斯。

更新的基準可能會對使用Microsoft安全基準的人員進行審核的組織產(chǎn)生積極影響。

例如，一個組織可能已經(jīng)實施了禁止的密碼列表，兩因素身份驗證和密碼攻擊檢測，但是如果發(fā)現(xiàn)它們不符合Microsoft的60天建議，則可能會在審核中受到處罰。

Margosis解釋說：“對于組織而言，在審核期間將合規(guī)性數(shù)字比實際的安全性更為重要是很正常的。”

“如果基準建議使用60天的基準，而擁有高級保護的組織則選擇365天(或根本沒有到期)，那么他們將不必要地參加審計，并可能被迫遵守60天的建議。”