La versión 1903 de Windows 10 deja obsoleta las políticas de caducidad de contraseñas

¿Por qué estamos eliminando las políticas de caducidad de contraseñas?

Primero, para tratar de evitar malentendidos inevitables, estamos hablando aquí solo de eliminar políticas de caducidad de contraseñas: no proponemos cambios en los requisitos para la longitud mínima de la contraseña, historia o complejidad.

La expiración periódica de la contraseña es una defensa solo contra la probabilidad de que una contraseña (o hash) sea robada durante su intervalo de validez y sea utilizada por una entidad no autorizada. Si nunca roban una contraseña, no es necesario que caduque. Y si tiene evidencia de que se ha robado una contraseña, presumiblemente actuaría de inmediato en lugar de esperar a que caduque para solucionar el problema.

Si es un hecho que es probable que se robe una contraseña, ¿cuántos días es un período de tiempo aceptable para continuar permitiendo que el ladrón use esa contraseña robada? El valor predeterminado de Windows es 42 días. ¿No te parece un tiempo ridículamente largo? Bueno, lo es y, sin embargo, nuestra línea de base actual dice 60 días, y solía decir 90 días, porque forzar la expiración frecuente presenta sus propios problemas. Y si no es un hecho que las contraseñas serán robadas, adquieres esos problemas sin ningún beneficio. Además, si sus usuarios son del tipo que está dispuesto a responder encuestas en el estacionamiento que intercambian una barra de chocolate por sus contraseñas, ninguna política de caducidad de contraseñas lo ayudará.

Nuestras líneas de base están diseñadas para que la mayoría de las empresas bien gestionadas y conscientes de la seguridad puedan utilizarlas con modificaciones mínimas, si es que las hay. También están destinados a servir como guía para los auditores. Entonces, ¿cuál debería ser el período de vencimiento recomendado? Si una organización ha implementado con éxito listas de contraseñas prohibidas, autenticación multifactor, detección de ataques de adivinación de contraseñas y detección de intentos de inicio de sesión anómalos, ¿necesitan alguna contraseña periódica? ¿vencimiento? Y si no han implementado mitigaciones modernas, ¿cuánta protección obtendrán realmente con la expiración de la contraseña?

Los resultados de las exploraciones de cumplimiento de línea de base generalmente se miden por la cantidad de configuraciones que están fuera de cumplimiento: "¿Cuánto rojo tenemos en el gráfico? No es inusual que las organizaciones durante la auditoría consideren que las cifras de cumplimiento son más importantes que las del mundo real. seguridad. Si una línea de base recomienda 60 días y una organización con protecciones avanzadas opta por 365 días, o sin vencimiento en absoluto: se dañarán innecesariamente en una auditoría y podrían verse obligados a cumplir con los 60 días recomendación.

La caducidad periódica de la contraseña es una mitigación antigua y obsoleta de muy bajo valor, y no creemos que valga la pena que nuestra línea de base aplique ningún valor específico. Al eliminarlo de nuestra línea de base en lugar de recomendar un valor en particular o sin vencimiento, las organizaciones pueden elegir lo que mejor se adapte a sus necesidades percibidas sin contradecir nuestra guía. Al mismo tiempo, debemos reiterar que recomendamos encarecidamente protecciones adicionales aunque no se puedan expresar en nuestras líneas de base.