Windows 10 Versi 1903 Menghentikan Kebijakan Kedaluwarsa Kata Sandi
Windows 10 mendukung dua jenis akun. Salah satunya adalah akun lokal klasik yang telah tersedia di semua versi Windows sebelumnya, yang lainnya adalah Akun Microsoft modern yang terhubung dengan layanan cloud perusahaan. Sebelum Windows 10 versi 1903, Microsoft memiliki kebijakan kedaluwarsa kata sandi yang dapat dikonfigurasi untuk keamanan yang lebih baik sejak versi awal Windows NT. Ini telah berubah.
Singkatnya, Microsoft sekarang memiliki argumen berikut terhadap perubahan kata sandi yang berkelanjutan.
Posting blog resmi menyatakan sebagai berikut.
Mengapa kami menghapus kebijakan kedaluwarsa kata sandi?
Pertama, untuk mencoba menghindari kesalahpahaman yang tak terhindarkan, kita berbicara di sini hanya tentang menghapus kebijakan kedaluwarsa kata sandi – kami tidak mengusulkan perubahan persyaratan untuk panjang kata sandi minimum, sejarah, atau kompleksitas.
Kedaluwarsa kata sandi berkala adalah pertahanan hanya terhadap kemungkinan kata sandi (atau hash) akan dicuri selama interval validitasnya dan akan digunakan oleh entitas yang tidak berwenang. Jika kata sandi tidak pernah dicuri, tidak perlu kedaluwarsa. Dan jika Anda memiliki bukti bahwa kata sandi telah dicuri, Anda mungkin akan segera bertindak daripada menunggu kedaluwarsa untuk memperbaiki masalah.
Jika kata sandi kemungkinan besar akan dicuri, berapa hari jangka waktu yang dapat diterima untuk terus mengizinkan pencuri menggunakan kata sandi yang dicuri itu? Default Windows adalah 42 hari. Bukankah itu tampak seperti waktu yang sangat lama? Ya, memang demikian, namun baseline kami saat ini mengatakan 60 hari – dan dulu mengatakan 90 hari – karena memaksa kedaluwarsa yang sering menimbulkan masalahnya sendiri. Dan jika tidak ada kata sandi yang akan dicuri, Anda mendapatkan masalah itu tanpa manfaat. Selanjutnya, jika pengguna Anda adalah tipe orang yang bersedia menjawab survei di tempat parkir yang menukar permen dengan kata sandi mereka, tidak ada kebijakan kedaluwarsa kata sandi yang akan membantu Anda.
Garis dasar kami dimaksudkan untuk dapat digunakan dengan modifikasi minimal jika ada oleh sebagian besar perusahaan yang sadar keamanan dan terkelola dengan baik. Mereka juga dimaksudkan sebagai pedoman bagi auditor. Jadi, berapa periode kedaluwarsa yang disarankan? Jika sebuah organisasi telah berhasil menerapkan daftar kata sandi terlarang, otentikasi multi-faktor, deteksi serangan menebak kata sandi, dan deteksi upaya masuk yang tidak wajar, apakah mereka memerlukan kata sandi berkala? kadaluarsa? Dan jika mereka belum menerapkan mitigasi modern, berapa banyak perlindungan yang akan mereka peroleh dari kedaluwarsa kata sandi?
Hasil pemindaian kepatuhan dasar biasanya diukur dengan berapa banyak pengaturan yang tidak sesuai: “Berapa banyak warna merah yang kita miliki pada grafik?” Bukan hal yang aneh bagi organisasi selama audit untuk memperlakukan angka kepatuhan lebih penting daripada dunia nyata keamanan. Jika baseline merekomendasikan 60 hari dan organisasi dengan perlindungan lanjutan memilih 365 hari – atau tanpa masa berlaku sama sekali – mereka akan diganggu dalam audit yang tidak perlu dan mungkin dipaksa untuk mematuhi 60 hari rekomendasi.
Kedaluwarsa kata sandi secara berkala adalah mitigasi kuno dan usang dengan nilai yang sangat rendah, dan kami tidak percaya bahwa baseline kami perlu menerapkan nilai tertentu. Dengan menghapusnya dari dasar kami daripada merekomendasikan nilai tertentu atau tanpa kedaluwarsa, organisasi dapat memilih apa pun yang paling sesuai dengan kebutuhan mereka tanpa bertentangan dengan panduan kami. Pada saat yang sama, kami harus menegaskan kembali bahwa kami sangat merekomendasikan perlindungan tambahan meskipun tidak dapat dinyatakan dalam baseline kami.
Jadi, kebijakan kedaluwarsa kata sandi tidak digunakan lagi mulai Windows 10 versi 1903. Perubahan ini tidak memengaruhi kebijakan kata sandi lainnya, termasuk kebijakan untuk panjang dan kerumitan.
