Windows 10 Версия 1903 отменя правилата за изтичане на паролата
Windows 10 поддържа два типа акаунти. Единият е класическият локален акаунт, който е бил наличен във всички предишни версии на Windows, другият е модерният акаунт в Microsoft, който е свързан с облачните услуги на компанията. Преди Windows 10 версия 1903, Microsoft имаше конфигурируеми политики за изтичане на паролата за по-добра сигурност, датиращи от най-ранните версии на Windows NT. Това се промени.
Накратко, Microsoft вече има следните аргументи срещу непрекъснатата смяна на паролата.
Официалната публикация в блога гласи следното.
Защо премахваме правилата за изтичане на паролата?
Първо, за да се опитаме да избегнем неизбежни недоразумения, тук говорим само за премахване политики за изтичане на паролата – ние не предлагаме промяна на изискванията за минимална дължина на паролата, история или сложност.
Периодичното изтичане на паролата е защита само срещу вероятността парола (или хеш) да бъде открадната по време на нейния интервал на валидност и да бъде използвана от неоторизиран субект. Ако паролата никога не е открадната, няма нужда да изтичате. И ако имате доказателство, че парола е била открадната, вероятно ще действате незабавно, вместо да чакате изтичане, за да отстраните проблема.
Ако е дадено, че има вероятност парола да бъде открадната, колко дни е приемлив период от време, за да продължите, за да позволите на крадеца да използва тази открадната парола? Windows по подразбиране е 42 дни. Не изглежда ли това нелепо дълго време? Е, така е, и все пак нашето текущо изходно ниво казва 60 дни – а преди казваха 90 дни – защото принудителното често изтичане въвежда свои собствени проблеми. И ако не е предвидено, че паролите ще бъдат откраднати, получавате тези проблеми без полза. Освен това, ако вашите потребители са от типа, които са готови да отговарят на анкети на паркинга, които разменят бонбони за техните пароли, никаква политика за изтичане на паролата няма да ви помогне.
Нашите базови линии са предназначени да бъдат използваеми с минимални, ако има такива, модификации от повечето добре управлявани, съобразени със сигурността предприятия. Те също така са предназначени да служат като насоки за одиторите. И така, какъв трябва да бъде препоръчителният срок на годност? Ако една организация е внедрила успешно списъци с забранени пароли, многофакторно удостоверяване, откриване на атаки с отгатване на пароли и откриване на аномални опити за влизане, имат ли нужда от периодична парола изтичане? И ако не са въвели съвременни смекчавания, колко защита наистина ще спечелят от изтичането на паролата?
Резултатите от сканирането на базовото съответствие обикновено се измерват с това колко настройки са несъответстващи: „Колко червено имаме на графиката?" Не е необичайно организациите по време на одит да третират числата за съответствие като по-важни от реалния свят сигурност. Ако базовото ниво препоръчва 60 дни и организация с разширени защити избира 365 дни – или без изтичане изобщо – те ненужно ще получат одит и може да бъдат принудени да се придържат към 60-дневния срок препоръка.
Периодичното изтичане на паролата е древно и остаряло смекчаване на много ниска стойност и ние не вярваме, че си струва нашата базова линия да налага някаква конкретна стойност. Като го премахнем от нашата базова линия, вместо да препоръчваме конкретна стойност или без изтичане, организациите могат да изберат каквото най-добре отговаря на техните възприемани нужди, без да противоречи на нашите насоки. В същото време трябва да повторим, че силно препоръчваме допълнителни защити, въпреки че те не могат да бъдат изразени в нашите базови стойности.
Така че правилата за изтичане на паролата са оттеглени от Windows 10 версия 1903. Тази промяна не засяга други правила за пароли, включително правилата за дължина и сложност.
