Windows10バージョン1903はパスワードの有効期限ポリシーを廃止します

パスワードの有効期限ポリシーを削除するのはなぜですか？

まず、避けられない誤解を避けるために、ここでは削除についてのみ話します パスワードの有効期限ポリシー–パスワードの最小長の要件を変更することは提案していません。 歴史、または複雑さ。

定期的なパスワードの有効期限は、有効期間中にパスワード（またはハッシュ）が盗まれ、許可されていないエンティティによって使用される可能性に対する防御にすぎません。 パスワードが盗まれたことがない場合は、パスワードを期限切れにする必要はありません。 また、パスワードが盗まれたという証拠がある場合は、問題を解決するために有効期限を待つのではなく、おそらくすぐに行動するでしょう。

パスワードが盗まれる可能性が高いと仮定した場合、泥棒がその盗まれたパスワードを使用できるようにするための許容可能な期間は何日ですか？ Windowsのデフォルトは42日です。 ばかばかしいほど長い時間のように思われませんか？ そうですね、それでも現在のベースラインでは60日と言われていますが、以前は90日と言われていました。これは、頻繁な期限切れを強制すると、それ自体に問題が生じるためです。 そして、パスワードが盗まれることが与えられていない場合、あなたはそれらの問題を無益に取得します。 さらに、ユーザーが駐車場でキャンディーバーをパスワードと交換する調査に喜んで回答するような人である場合、パスワードの有効期限ポリシーは役に立ちません。

私たちのベースラインは、ほとんどの適切に管理されたセキュリティに敏感な企業による変更があったとしても最小限で使用できるように意図されています。 それらはまた、監査人のためのガイダンスとして役立つことを目的としています。 では、推奨される有効期限はどのくらいにする必要がありますか？ 組織が禁止パスワードリスト、多要素認証、検出を正常に実装した場合 パスワード推測攻撃、および異常なログオン試行の検出には、定期的なパスワードが必要ですか？ 有効期限？ また、最新の緩和策を実装していない場合、パスワードの有効期限から実際にどの程度の保護が得られるでしょうか。

ベースラインコンプライアンススキャンの結果は、通常、コンプライアンスに違反している設定の数によって測定されます。 チャートに？」 監査中に組織がコンプライアンスの数値を実際よりも重要なものとして扱うことは珍しいことではありません 安全。 ベースラインが60日を推奨し、高度な保護を備えた組織が365日を選択した場合、または有効期限なしを選択した場合 まったく–彼らは不必要に監査に没頭し、60日間を遵守せざるを得なくなる可能性があります おすすめ。

定期的なパスワードの有効期限は、非常に低い価値の古くて時代遅れの緩和策であり、ベースラインが特定の価値を強制することは価値がないと考えています。 特定の値を推奨したり、有効期限を設けたりするのではなく、ベースラインから削除することで、組織は、ガイダンスに矛盾することなく、認識されたニーズに最適なものを選択できます。 同時に、ベースラインで表現できない場合でも、追加の保護を強くお勧めすることを改めて表明する必要があります。