A Windows 10 1903-as verziója érvényteleníti a jelszavak lejárati szabályzatát
A Windows 10 kétféle fiókot támogat. Az egyik a klasszikus helyi fiók, amely minden korábbi Windows-verzióban elérhető volt, a másik pedig a modern Microsoft Account, amely a vállalat felhőszolgáltatásaihoz kapcsolódik. A Windows 10 1903-as verziója előtt a Microsoft konfigurálható jelszólejárati házirendekkel rendelkezett a jobb biztonság érdekében a Windows NT legkorábbi verzióitól kezdve. Ez megváltozott.
Röviden, a Microsoft most a következő érvekkel rendelkezik a folyamatos jelszómódosítás ellen.
A hivatalos blogbejegyzés a következőket írja.
Miért távolítjuk el a jelszavak lejárati irányelveit?
Először is, hogy elkerüljük az elkerülhetetlen félreértéseket, itt csak az eltávolításról beszélünk jelszó-lejárati szabályzat – nem javasolunk a minimális jelszóhosszra vonatkozó követelmények megváltoztatását, történelem vagy összetettség.
A jelszó időszakos lejárata csak annak a valószínűsége ellen jelent védelmet, hogy egy jelszót (vagy hash-t) az érvényességi idő alatt ellopnak, és azt illetéktelen személy használja fel. Ha egy jelszót soha nem lopnak el, akkor nem kell lejáratnia. Ha pedig bizonyítéka van arra, hogy egy jelszót elloptak, akkor feltehetően azonnal cselekedne, nem pedig megvárná a lejáratot a probléma megoldásához.
Ha adott, hogy egy jelszót valószínűleg ellopnak, hány nap az elfogadható időtartam ahhoz, hogy a tolvaj továbbra is használja az ellopott jelszót? A Windows alapértelmezett beállítása 42 nap. Nem tűnik nevetségesen hosszú időnek? Nos, ez van, és a jelenlegi alapállapotunk mégis 60 napot mond – régebben pedig 90 napot –, mert a gyakori lejárat kényszerítése saját problémákat vet fel. És ha nem magától értetődő, hogy a jelszavakat ellopják, akkor ezeket a problémákat haszon nélkül szerezheti meg. Továbbá, ha a felhasználók olyanok, akik hajlandóak válaszolni a parkolóban készült felmérésekre, amelyekben cukorkát cserélnek jelszavaikra, akkor semmilyen jelszó-lejárati szabályzat nem segít.
Alapvonalainkat úgy tervezzük, hogy a legtöbb jól menedzselt, biztonságtudatos vállalkozás minimális, ha bármilyen módosítással felhasználhassa. Szintén iránymutatásul szolgálnak a könyvvizsgálók számára. Tehát mi legyen az ajánlott lejárati idő? Ha egy szervezet sikeresen bevezette a tiltott jelszavas listákat, többtényezős hitelesítést, észlelést jelszókitaláló támadások és rendellenes bejelentkezési kísérletek észlelése, szükség van-e rendszeres jelszóra lejárat? És ha nem vezettek be modern mérsékléseket, akkor valójában mennyi védelmet nyernek majd a jelszavak lejáratásával?
Az alapszintű megfelelőségi vizsgálatok eredményeit általában aszerint mérik, hogy hány beállítás nem megfelelő: „Mennyi pirosunk van a diagramon?” Nem szokatlan, hogy a szervezetek az audit során a megfelelőségi számokat fontosabbnak tekintik, mint a valós világot Biztonság. Ha egy alapállapot 60 napot javasol, és egy fejlett védelemmel rendelkező szervezet a 365 napot választja – vagy nincs lejárat egyáltalán – szükségtelenül beledöcögnek egy auditba, és kénytelenek lesznek betartani a 60 napos határidőt. ajánlást.
A jelszavak időszakos lejárata egy ősi és elavult, nagyon alacsony értékű mérséklés, és nem hisszük, hogy érdemes az alapállapotunknak bármilyen konkrét értéket érvényesíteni. Azáltal, hogy ahelyett, hogy egy adott értéket vagy lejárati időt javasolnánk, eltávolítjuk az alaphelyzetünkből, a szervezetek kiválaszthatják azt, ami a legjobban megfelel észlelt igényeiknek anélkül, hogy ez ellentmondana útmutatásunknak. Ugyanakkor meg kell ismételnünk, hogy nyomatékosan javasoljuk a további védelmet, még akkor is, ha azok nem fejezhetők ki alapállapotunkban.
Tehát a jelszó lejárati irányelvei a Windows 10 1903-as verziójától kezdődően elavultak. Ez a változás nem érinti a többi jelszóházirendet, beleértve a hosszúságra és összetettségre vonatkozó szabályokat.