Windows 10 Version 1903 veraltet Richtlinien zum Ablaufen von Kennwörtern

Warum entfernen wir die Richtlinien zum Ablauf von Kennwörtern?

Erstens, um unvermeidliche Missverständnisse zu vermeiden, sprechen wir hier nur über das Entfernen Richtlinien zum Ablauf von Kennwörtern – wir schlagen keine Änderung der Anforderungen für die Mindestlänge von Kennwörtern vor, Geschichte oder Komplexität.

Der periodische Ablauf des Passworts ist nur ein Schutz gegen die Wahrscheinlichkeit, dass ein Passwort (oder Hash) während seines Gültigkeitsintervalls gestohlen und von einer nicht autorisierten Einheit verwendet wird. Wenn ein Passwort nie gestohlen wird, muss es nicht ablaufen. Und wenn Sie Beweise dafür haben, dass ein Passwort gestohlen wurde, würden Sie vermutlich sofort handeln, anstatt auf den Ablauf zu warten, um das Problem zu beheben.

Wenn die Wahrscheinlichkeit eines Diebstahls eines Passworts gegeben ist, wie viele Tage ist dann akzeptabel, damit der Dieb das gestohlene Passwort weiterhin verwenden kann? Der Windows-Standardwert beträgt 42 Tage. Kommt mir das nicht lächerlich lange vor? Nun, das ist es, und dennoch sagt unsere aktuelle Baseline 60 Tage – und früher 90 Tage – weil das Erzwingen eines häufigen Ablaufs seine eigenen Probleme mit sich bringt. Und wenn es nicht selbstverständlich ist, dass Passwörter gestohlen werden, erwerben Sie diese Probleme ohne Vorteil. Wenn Ihre Benutzer außerdem bereit sind, Umfragen auf dem Parkplatz zu beantworten, die einen Schokoriegel gegen ihre Passwörter eintauschen, hilft Ihnen keine Richtlinie zum Ablauf von Passwörtern.

Unsere Baselines sind so konzipiert, dass sie von den meisten gut verwalteten, sicherheitsbewussten Unternehmen mit minimalen oder gar Änderungen verwendet werden können. Sie sollen auch den Prüfern als Orientierungshilfe dienen. Also, was sollte die empfohlene Verfallsfrist sein? Wenn eine Organisation erfolgreich Listen mit gesperrten Passwörtern, Multi-Faktor-Authentifizierung, Erkennung von Passwort-Erraten-Angriffe und Erkennung von anormalen Anmeldeversuchen, benötigen sie ein regelmäßiges Passwort? Ablauf? Und wenn sie keine modernen Abwehrmaßnahmen implementiert haben, wie viel Schutz werden sie dann wirklich vor dem Ablauf von Passwörtern erhalten?

Die Ergebnisse von Baseline-Compliance-Scans werden normalerweise daran gemessen, wie viele Einstellungen nicht konform sind: „Wie viel Rot haben wir?“ auf der Karte?" Es ist nicht ungewöhnlich, dass Unternehmen während des Audits Compliance-Zahlen wichtiger behandeln als reale Sicherheit. Wenn eine Baseline 60 Tage empfiehlt und eine Organisation mit erweitertem Schutz sich für 365 Tage entscheidet – oder kein Ablaufdatum überhaupt – sie werden bei einem Audit unnötigerweise beschmutzt und sind möglicherweise gezwungen, die 60-Tage einzuhalten Empfehlung.

Das regelmäßige Ablaufen von Passwörtern ist eine alte und veraltete Schutzmaßnahme von sehr geringem Wert, und wir glauben nicht, dass es sich für unsere Baseline lohnt, einen bestimmten Wert durchzusetzen. Indem sie es aus unserer Grundlinie streichen, anstatt einen bestimmten Wert oder kein Ablaufdatum zu empfehlen, können Unternehmen das auswählen, was ihren wahrgenommenen Bedürfnissen am besten entspricht, ohne unseren Leitlinien zu widersprechen. Gleichzeitig müssen wir wiederholen, dass wir zusätzliche Schutzmaßnahmen dringend empfehlen, auch wenn sie in unseren Basiswerten nicht zum Ausdruck kommen.