Windows 10 versione 1903 depreca i criteri di scadenza della password

Perché stiamo rimuovendo i criteri di scadenza della password?

Innanzitutto, per cercare di evitare inevitabili fraintendimenti, qui si tratta solo di rimuovere politiche di scadenza della password: non proponiamo di modificare i requisiti per la lunghezza minima della password, storia o complessità.

La scadenza periodica della password è una difesa solo contro la probabilità che una password (o un hash) venga rubata durante il suo intervallo di validità e venga utilizzata da un'entità non autorizzata. Se una password non viene mai rubata, non è necessario farla scadere. E se hai la prova che una password è stata rubata, presumibilmente agiresti immediatamente piuttosto che aspettare la scadenza per risolvere il problema.

Se è un dato di fatto che è probabile che una password venga rubata, quanti giorni è un periodo di tempo accettabile per continuare a consentire al ladro di utilizzare quella password rubata? L'impostazione predefinita di Windows è 42 giorni. Non ti sembra un tempo ridicolmente lungo? Ebbene, lo è, eppure la nostra linea di base attuale dice 60 giorni – e una volta si diceva 90 giorni – perché forzare una scadenza frequente introduce i suoi problemi. E se non è scontato che le password vengano rubate, acquisisci quei problemi senza alcun beneficio. Inoltre, se i tuoi utenti sono il tipo che è disposto a rispondere a sondaggi nel parcheggio che scambiano una barretta di cioccolato con le loro password, nessuna politica di scadenza della password ti aiuterà.

Le nostre linee di base sono pensate per essere utilizzabili con modifiche minime o addirittura nulle dalla maggior parte delle aziende ben gestite e attente alla sicurezza. Sono inoltre destinati a servire da guida per i revisori dei conti. Quindi, quale dovrebbe essere il periodo di scadenza consigliato? Se un'organizzazione ha implementato con successo elenchi di password vietate, autenticazione a più fattori, rilevamento di attacchi di password-guessing e rilevamento di tentativi di accesso anomali, hanno bisogno di password periodiche? scadenza? E se non hanno implementato mitigazioni moderne, quanta protezione otterranno realmente dalla scadenza della password?

I risultati delle scansioni di conformità di base sono solitamente misurati da quante impostazioni non sono conformi: "Quanto rosso abbiamo? sul grafico?" Non è insolito per le organizzazioni durante l'audit trattare i numeri di conformità come più importanti del mondo reale sicurezza. Se una linea di base consiglia 60 giorni e un'organizzazione con protezioni avanzate opta per 365 giorni o nessuna scadenza a tutti - verranno danneggiati inutilmente da un audit e potrebbero essere costretti a rispettare i 60 giorni raccomandazione.

La scadenza periodica della password è una mitigazione antica e obsoleta di valore molto basso e non crediamo che valga la pena che la nostra linea di base applichi alcun valore specifico. Rimuovendolo dalla nostra linea di base piuttosto che raccomandare un valore particolare o nessuna scadenza, le organizzazioni possono scegliere ciò che meglio si adatta alle loro esigenze percepite senza contraddire la nostra guida. Allo stesso tempo, dobbiamo ribadire che raccomandiamo caldamente protezioni aggiuntive anche se non possono essere espresse nelle nostre linee di base.

Panoramica sulla privacy