Windows 10 version 1903 désapprouve les stratégies d'expiration des mots de passe
Windows 10 prend en charge deux types de comptes. L'un est le compte local classique qui était disponible dans toutes les versions précédentes de Windows, l'autre est le compte Microsoft moderne qui est connecté aux services cloud de l'entreprise. Avant Windows 10 version 1903, Microsoft disposait de politiques d'expiration de mot de passe configurables pour une meilleure sécurité depuis les premières versions de Windows NT. Cela a changé.
En bref, Microsoft dispose désormais des arguments suivants contre la modification continue des mots de passe.
Le billet de blog officiel indique ce qui suit.
Pourquoi supprimons-nous les politiques d'expiration des mots de passe ?
Tout d'abord, pour tenter d'éviter d'inévitables malentendus, nous ne parlons ici que de supprimer politiques d'expiration du mot de passe - nous ne proposons pas de modifier les exigences pour la longueur minimale du mot de passe, l'histoire ou la complexité.
L'expiration périodique du mot de passe est une défense uniquement contre la probabilité qu'un mot de passe (ou hachage) soit volé pendant son intervalle de validité et soit utilisé par une entité non autorisée. Si un mot de passe n'est jamais volé, il n'est pas nécessaire de l'expirer. Et si vous avez la preuve qu'un mot de passe a été volé, vous agirez probablement immédiatement plutôt que d'attendre l'expiration pour résoudre le problème.
S'il est évident qu'un mot de passe est susceptible d'être volé, combien de jours est une durée acceptable pour continuer à permettre au voleur d'utiliser ce mot de passe volé? La valeur par défaut de Windows est de 42 jours. Cela ne semble-t-il pas ridiculement long? Eh bien, c'est le cas, et pourtant notre ligne de base actuelle dit 60 jours – et autrefois 90 jours – car forcer une expiration fréquente introduit ses propres problèmes. Et si ce n'est pas une donnée que les mots de passe seront volés, vous acquérez ces problèmes sans aucun avantage. De plus, si vos utilisateurs sont du genre à vouloir répondre à des sondages dans le parking qui échangent une barre chocolatée contre leurs mots de passe, aucune politique d'expiration des mots de passe ne vous aidera.
Nos références sont conçues pour être utilisables avec un minimum de modifications, voire aucune, par la plupart des entreprises bien gérées et soucieuses de la sécurité. Ils sont également destinés à servir de guide aux auditeurs. Alors, quelle devrait être la période d'expiration recommandée? Si une organisation a mis en place avec succès des listes de mots de passe interdits, une authentification multifacteur, la détection de les attaques par devinette de mot de passe et la détection des tentatives de connexion anormales, ont-elles besoin d'un mot de passe périodique expiration? Et s'ils n'ont pas mis en place de mesures d'atténuation modernes, quelle protection bénéficieront-ils réellement de l'expiration du mot de passe ?
Les résultats des analyses de conformité de base sont généralement mesurés par le nombre de paramètres non conformes: « combien de rouge avons-nous sur la carte? » Il n'est pas rare que les organisations, lors d'un audit, considèrent les chiffres de conformité comme plus importants que ceux du monde réel. Sécurité. Si une ligne de base recommande 60 jours et qu'une organisation avec des protections avancées opte pour 365 jours - ou pas d'expiration pas du tout - ils seront sonnés dans un audit inutilement et pourraient être obligés de respecter le délai de 60 jours recommandation.
L'expiration périodique des mots de passe est une atténuation ancienne et obsolète de très faible valeur, et nous ne pensons pas qu'il soit utile que notre base de référence applique une valeur spécifique. En le supprimant de notre référence plutôt que de recommander une valeur particulière ou aucune expiration, les organisations peuvent choisir ce qui convient le mieux à leurs besoins perçus sans contredire nos conseils. Dans le même temps, nous devons réitérer que nous recommandons fortement des protections supplémentaires même si elles ne peuvent pas être exprimées dans nos lignes de base.
Ainsi, les stratégies d'expiration des mots de passe sont obsolètes à partir de Windows 10 version 1903. Cette modification n'affecte pas les autres stratégies de mot de passe, y compris les stratégies de longueur et de complexité.
Aperçu de la confidentialité
Ce site Web utilise des cookies pour améliorer votre expérience lorsque vous naviguez sur le site Web. Parmi ces cookies, les cookies classés comme nécessaires sont stockés sur votre navigateur car ils sont essentiels au fonctionnement des fonctionnalités de base du site Web. Nous utilisons également des cookies tiers qui nous aident à analyser et à comprendre comment vous utilisez ce site Web. Ces cookies ne seront stockés dans votre navigateur qu'avec votre consentement. Vous avez également la possibilité de désactiver ces cookies. Mais la désactivation de certains de ces cookies peut avoir un effet sur votre expérience de navigation.