Windows 10 Версия 1903 отменя правилата за изтичане на паролата

Защо премахваме правилата за изтичане на паролата?

Първо, за да се опитаме да избегнем неизбежни недоразумения, тук говорим само за премахване политики за изтичане на паролата – ние не предлагаме промяна на изискванията за минимална дължина на паролата, история или сложност.

Периодичното изтичане на паролата е защита само срещу вероятността парола (или хеш) да бъде открадната по време на нейния интервал на валидност и да бъде използвана от неоторизиран субект. Ако паролата никога не е открадната, няма нужда да изтичате. И ако имате доказателство, че парола е била открадната, вероятно ще действате незабавно, вместо да чакате изтичане, за да отстраните проблема.

Ако е дадено, че има вероятност парола да бъде открадната, колко дни е приемлив период от време, за да продължите, за да позволите на крадеца да използва тази открадната парола? Windows по подразбиране е 42 дни. Не изглежда ли това нелепо дълго време? Е, така е, и все пак нашето текущо изходно ниво казва 60 дни – а преди казваха 90 дни – защото принудителното често изтичане въвежда свои собствени проблеми. И ако не е предвидено, че паролите ще бъдат откраднати, получавате тези проблеми без полза. Освен това, ако вашите потребители са от типа, които са готови да отговарят на анкети на паркинга, които разменят бонбони за техните пароли, никаква политика за изтичане на паролата няма да ви помогне.

Нашите базови линии са предназначени да бъдат използваеми с минимални, ако има такива, модификации от повечето добре управлявани, съобразени със сигурността предприятия. Те също така са предназначени да служат като насоки за одиторите. И така, какъв трябва да бъде препоръчителният срок на годност? Ако една организация е внедрила успешно списъци с забранени пароли, многофакторно удостоверяване, откриване на атаки с отгатване на пароли и откриване на аномални опити за влизане, имат ли нужда от периодична парола изтичане? И ако не са въвели съвременни смекчавания, колко защита наистина ще спечелят от изтичането на паролата?

Резултатите от сканирането на базовото съответствие обикновено се измерват с това колко настройки са несъответстващи: „Колко червено имаме на графиката?" Не е необичайно организациите по време на одит да третират числата за съответствие като по-важни от реалния свят сигурност. Ако базовото ниво препоръчва 60 дни и организация с разширени защити избира 365 дни – или без изтичане изобщо – те ненужно ще получат одит и може да бъдат принудени да се придържат към 60-дневния срок препоръка.

Периодичното изтичане на паролата е древно и остаряло смекчаване на много ниска стойност и ние не вярваме, че си струва нашата базова линия да налага някаква конкретна стойност. Като го премахнем от нашата базова линия, вместо да препоръчваме конкретна стойност или без изтичане, организациите могат да изберат каквото най-добре отговаря на техните възприемани нужди, без да противоречи на нашите насоки. В същото време трябва да повторим, че силно препоръчваме допълнителни защити, въпреки че те не могат да бъдат изразени в нашите базови стойности.

Общ преглед на поверителността