Windows 10 verze 1903 zastarává zásady vypršení platnosti hesla
Windows 10 podporuje dva typy účtů. Jedním je klasický lokální účet, který byl dostupný ve všech předchozích verzích Windows, druhým je moderní Microsoft Account, který je propojen s cloudovými službami společnosti. Před Windows 10 verze 1903 měl Microsoft konfigurovatelné zásady vypršení platnosti hesla pro lepší zabezpečení již od nejstarších verzí Windows NT. To se změnilo.
Stručně řečeno, Microsoft má nyní následující argumenty proti neustálé změně hesla.
Oficiální blogový příspěvek uvádí následující.
Proč odstraňujeme zásady vypršení platnosti hesla?
Za prvé, abychom se vyhnuli nevyhnutelným nedorozuměním, mluvíme zde pouze o odstranění zásady vypršení platnosti hesla – nenavrhujeme změny požadavků na minimální délku hesla, historie nebo složitost.
Periodické vypršení platnosti hesla je obranou pouze proti pravděpodobnosti, že heslo (nebo hash) bude v době jeho platnosti odcizeno a bude použito neoprávněnou osobou. Pokud není heslo nikdy odcizeno, není třeba vypršet jeho platnost. A pokud máte důkazy o tom, že heslo bylo ukradeno, pravděpodobně byste jednali okamžitě, místo abyste čekali na vypršení platnosti, abyste problém vyřešili.
Pokud je dáno, že je pravděpodobné, že bude heslo odcizeno, kolik dní je přijatelná doba, po kterou bude zloděj moci používat toto ukradené heslo? Výchozí nastavení systému Windows je 42 dní. Nezdá se vám to jako směšně dlouhá doba? No, je, a přesto naše současná základní hodnota říká 60 dní – a říká se, že 90 dní – protože vynucování častého vypršení platnosti přináší své vlastní problémy. A pokud není samozřejmé, že hesla budou ukradena, získáte tyto problémy bez užitku. Dále, pokud jsou vaši uživatelé takoví, kteří jsou ochotni odpovídat na průzkumy na parkovišti, které vyměňují bonbónek za svá hesla, žádná politika vypršení platnosti hesla vám nepomůže.
Naše základní linie jsou zamýšleny tak, aby byly použitelné s minimálními, pokud vůbec nějakými úpravami, většinou dobře řízenými podniky, které si uvědomují bezpečnost. Mají také sloužit jako vodítko pro auditory. Jaká by tedy měla být doporučená doba použitelnosti? Pokud organizace úspěšně implementovala seznamy zakázaných hesel, vícefaktorovou autentizaci, detekci útoky na uhádnutí hesel a detekce anomálních pokusů o přihlášení, potřebují nějaké periodické heslo vypršení? A pokud neimplementovali moderní zmírnění, jakou ochranu skutečně získají vypršením platnosti hesla?
Výsledky základních kontrol souladu se obvykle měří podle toho, kolik nastavení nesplňuje požadavky: „Kolik červené máme na grafu?" Není neobvyklé, že organizace během auditu považují čísla shody za důležitější než reálný svět bezpečnostní. Pokud základní hodnota doporučuje 60 dní a organizace s pokročilou ochranou se rozhodne pro 365 dní – nebo bez vypršení platnosti vůbec – při auditu budou zbytečně pošpiněni a mohou být nuceni dodržet 60denní doporučení.
Pravidelné vypršení platnosti hesla je prastaré a zastaralé zmírnění dopadů na velmi nízkou hodnotu a nevěříme, že má smysl, aby naše základní linie prosazovala nějakou konkrétní hodnotu. Odstraněním z naší základní linie namísto doporučení konkrétní hodnoty nebo nulové platnosti si organizace mohou vybrat cokoli, co nejlépe vyhovuje jejich vnímaným potřebám, aniž by byly v rozporu s našimi pokyny. Zároveň musíme zopakovat, že důrazně doporučujeme další ochrany, i když je nelze vyjádřit v našich základních liniích.
Počínaje Windows 10 verze 1903 jsou tedy zásady vypršení platnosti hesla zastaralé. Tato změna neovlivní ostatní zásady hesel, včetně zásad délky a složitosti.