微软抛弃了古老的 过时的过期密码策略

导读微软联合创始人比尔盖茨近20年来一直在预测密码的死亡。他们今天仍然和我们在一起，但现在该公司已经决定放弃一个愚蠢的规则，这些规则首先

微软联合创始人比尔盖茨近20年来一直在预测密码的死亡。他们今天仍然和我们在一起，但现在该公司已经决定放弃一个愚蠢的规则，这些规则首先帮助使密码成为问题：强制定期更改密码。

该公司计划在Windows 10 1903或5月2019更新以及Windows Server 1903的安全配置基准设置中删除过期密码策略。

微软首席顾问Aaron Margosis 解释说： “定期密码到期是一个古老而过时的极低价值缓解，我们认为我们的基线不值得执行任何具体价值。”

组织现在可以选择自己的密码到期日期，也可以选择不拥有密码到期日期。

正如Margosis所解释的那样，定期强制用户选择新密码只是针对有效密码或密码哈希被未经授权的人员窃取和使用。虽然该政策没有提供太多保护，但它确实会让密码成为一个更大问题。

“当人们被迫更改密码时，他们往往会对现有密码进行小规模和可预测的更改，并且/或者忘记他们的新密码。当密码或其相应的哈希被盗时，最多可能很难检测或限制他们未经授权的使用。“

微软的提议是在两年前美国国家标准与技术研究院(NIST)对其密码规则指南进行的全面改革之后提出的，该指南删除了定期密码更改和密码复杂性要求。

该更新还建议组织检查新密码不是数据泄露中常见的新密码，例如'123456'或'qwerty' - 两个在英国国家网络安全中心频繁出现的密码泄露分析中出现以创建其 列表最糟糕的100,000密码。

Microsoft并未更改其对最小密码长度，历史记录或复杂性的要求。它还建议使用Azure Active Directory密码保护工具等工具，管理员可以使用这些工具禁用常用密码，例如“密码”及其变体，如“p @ $$ word”。

Margosis详细说明了现有基准中的几个矛盾，这些矛盾使密码过期策略完全无用。目前，Windows建议42天，但现有基准是60天，过去是90天。

“如果密码很可能被窃取，那么继续允许小偷使用该被盗密码需要多长时间?Windows默认为42天。这看起来不是很荒谬很久?” 问Margosis。

更新的基线可能会对使用Microsoft安全基准的人员进行审核的组织产生积极影响。

例如，组织可能已实施禁用密码列表，双因素身份验证和密码攻击检测，但如果发现它们不符合Microsoft的60天建议，则可能会在审核中受到处罚。

“在审计过程中，组织将合规数量视为比现实世界的安全更重要，这一点并不罕见，”Margosis解释道。

“如果一个基线建议60天，并且一个拥有高级保护措施的组织选择365天 - 或者根本没有到期 - 他们将在不必要的审计中受到批评，并可能被迫遵守60天的建议。”