يتجاهل الإصدار 1903 من Windows 10 سياسات انتهاء صلاحية كلمة المرور
يدعم Windows 10 نوعين من الحسابات. أحدهما هو الحساب المحلي الكلاسيكي الذي كان متاحًا في جميع إصدارات Windows السابقة ، والآخر هو حساب Microsoft الحديث المتصل بخدمات الشركة السحابية. قبل إصدار Windows 10 1903 ، كان لدى Microsoft سياسات انتهاء صلاحية كلمة مرور قابلة للتكوين لتحسين الأمان الذي يعود تاريخه إلى الإصدارات الأولى من Windows NT. لقد تغير هذا.
باختصار ، لدى Microsoft الآن الحجج التالية ضد التغيير المستمر لكلمة المرور.
ينص منشور المدونة الرسمي على ما يلي.
لماذا نقوم بإزالة سياسات انتهاء صلاحية كلمة المرور؟
أولاً ، لمحاولة تجنب سوء الفهم الذي لا مفر منه ، نحن نتحدث هنا فقط عن الإزالة سياسات انتهاء صلاحية كلمة المرور - لا نقترح تغيير متطلبات الحد الأدنى لطول كلمة المرور ، التاريخ أو التعقيد.
انتهاء الصلاحية الدورية لكلمة المرور هو دفاع فقط ضد احتمال سرقة كلمة المرور (أو التجزئة) خلال فترة صلاحيتها وسيتم استخدامها من قبل كيان غير مصرح له. إذا لم تتم سرقة كلمة المرور مطلقًا ، فلا داعي لانتهاء صلاحيتها. وإذا كان لديك دليل على سرقة كلمة مرور ، فمن المفترض أن تتصرف على الفور بدلاً من انتظار انتهاء الصلاحية لإصلاح المشكلة.
إذا كان من المسلم به أن كلمة المرور من المحتمل أن تتم سرقتها ، فكم عدد الأيام هي المدة الزمنية المقبولة للاستمرار في السماح للسارق باستخدام كلمة المرور المسروقة؟ الافتراضي Windows هو 42 يومًا. ألا يبدو ذلك وكأنه وقت طويل يبعث على السخرية؟ حسنًا ، إنه كذلك ، ومع ذلك فإن خط الأساس الحالي لدينا يشير إلى 60 يومًا - وكان يقول 90 يومًا - لأن فرض انتهاء الصلاحية المتكرر يؤدي إلى مشاكله الخاصة. وإذا لم يكن من المفترض أن تتم سرقة كلمات المرور ، فستواجه هذه المشكلات دون فائدة. علاوة على ذلك ، إذا كان المستخدمون لديك من النوع الذي يرغب في الإجابة على الاستطلاعات في ساحة انتظار السيارات التي تتبادل قالب الحلوى بكلمات المرور الخاصة بهم ، فلن تساعدك سياسة انتهاء صلاحية كلمة المرور.
تهدف خطوط الأساس الخاصة بنا إلى أن تكون قابلة للاستخدام بأقل قدر ممكن من التعديلات إن وجدت من قبل معظم المؤسسات التي تدار جيدًا وتراعي الأمن. كما أنها تهدف إلى أن تكون بمثابة إرشادات للمراجعين. إذن ، ما هي مدة الصلاحية الموصى بها؟ إذا نجحت إحدى المؤسسات في تنفيذ قوائم كلمات المرور المحظورة ، والمصادقة متعددة العوامل ، والكشف عن هجمات التخمين بكلمة المرور والكشف عن محاولات تسجيل الدخول الشاذة ، هل يحتاجون إلى أي كلمة مرور دورية انتهاء الصلاحية؟ وإذا لم ينفذوا وسائل التخفيف الحديثة ، فما مقدار الحماية التي سيحصلون عليها حقًا من انتهاء صلاحية كلمة المرور؟
عادةً ما تُقاس نتائج عمليات فحص الامتثال لخط الأساس بعدد الإعدادات التي لا تتوافق مع: "ما مقدار اللون الأحمر الذي لدينا على المخطط؟" ليس من غير المعتاد أن تعامل المؤسسات أثناء التدقيق أرقام الامتثال على أنها أكثر أهمية من العالم الحقيقي الأمان. إذا أوصى خط الأساس بـ 60 يومًا واختارت المؤسسة ذات الحماية المتقدمة 365 يومًا - أو لا تنتهي الصلاحية على الإطلاق - سوف يتورطون في عملية تدقيق دون داع وقد يضطرون إلى الالتزام بـ 60 يومًا توصية.
يعد انتهاء الصلاحية الدورية لكلمة المرور وسيلة تخفيف قديمة وعفا عليها الزمن وذات قيمة منخفضة للغاية ، ولا نعتقد أنه من المفيد لخط الأساس لدينا فرض أي قيمة محددة. من خلال إزالته من خط الأساس الخاص بنا بدلاً من التوصية بقيمة معينة أو عدم انتهاء الصلاحية ، يمكن للمؤسسات اختيار ما يناسب احتياجاتها المتصورة دون التناقض مع إرشاداتنا. في الوقت نفسه ، يجب أن نعيد التأكيد على أننا نوصي بشدة بحماية إضافية على الرغم من أنه لا يمكن التعبير عنها في خطوط الأساس الخاصة بنا.
لذلك ، يتم إهمال سياسات انتهاء صلاحية كلمة المرور بدءًا من الإصدار 1903 من Windows 10. لا يؤثر هذا التغيير على سياسات كلمات المرور الأخرى ، بما في ذلك سياسات الطول والتعقيد.
