Windows 10 versie 1903 vervalt beleid voor wachtwoordverloop

Waarom verwijderen we het beleid voor het verlopen van wachtwoorden?

Ten eerste, om onvermijdelijke misverstanden te voorkomen, hebben we het hier alleen over het verwijderen beleid voor het verlopen van wachtwoorden - we stellen geen wijzigingsvereisten voor de minimale wachtwoordlengte voor, geschiedenis of complexiteit.

Het periodiek verlopen van een wachtwoord is alleen een verdediging tegen de kans dat een wachtwoord (of hash) tijdens het geldigheidsinterval wordt gestolen en door een niet-geautoriseerde entiteit wordt gebruikt. Als een wachtwoord nooit wordt gestolen, hoeft het niet te verlopen. En als u bewijs hebt dat een wachtwoord is gestolen, zou u waarschijnlijk onmiddellijk handelen in plaats van te wachten tot de vervaldatum is verstreken om het probleem op te lossen.

Als het een gegeven is dat een wachtwoord waarschijnlijk wordt gestolen, hoeveel dagen is dan een acceptabele tijdsduur om de dief toe te staan ​​dat gestolen wachtwoord te gebruiken? De standaardwaarde van Windows is 42 dagen. Lijkt dat niet belachelijk lang? Welnu, dat is het, en toch zegt onze huidige basislijn 60 dagen - en zei vroeger 90 dagen - omdat het forceren van frequente expiratie zijn eigen problemen introduceert. En als het geen gegeven is dat wachtwoorden worden gestolen, krijgt u die problemen zonder enig voordeel. Verder, als uw gebruikers het soort zijn dat bereid is om enquêtes op de parkeerplaats te beantwoorden die een candybar inwisselen voor hun wachtwoorden, zal geen beleid voor het verlopen van wachtwoorden u helpen.

Onze baselines zijn bedoeld om bruikbaar te zijn met minimale of enige wijziging door de meeste goed beheerde, beveiligingsbewuste ondernemingen. Ze zijn ook bedoeld als leidraad voor auditors. Dus, wat moet de aanbevolen vervaltermijn zijn? Als een organisatie met succes lijsten met verboden wachtwoorden, multi-factor authenticatie, detectie van aanvallen met het raden van wachtwoorden en detectie van afwijkende aanmeldingspogingen, hebben ze een periodiek wachtwoord nodig? vervaldatum? En als ze geen moderne oplossingen hebben geïmplementeerd, hoeveel bescherming krijgen ze dan echt van het verlopen van wachtwoorden?

De resultaten van baseline-nalevingsscans worden meestal gemeten aan de hand van het aantal instellingen dat niet aan de regels voldoet: "Hoeveel rood hebben we? op de kaart?” Het is niet ongebruikelijk dat organisaties tijdens audits nalevingscijfers als belangrijker beschouwen dan in de praktijk veiligheid. Als een baseline 60 dagen aanbeveelt en een organisatie met geavanceerde beveiligingen kiest voor 365 dagen – of geen vervaldatum helemaal niet – ze zullen onnodig in een audit worden geduwd en kunnen worden gedwongen zich te houden aan de 60-dagen aanbeveling.

Het periodiek verlopen van wachtwoorden is een oude en achterhaalde beperking van zeer lage waarde, en we geloven niet dat het de moeite waard is voor onze baseline om een ​​specifieke waarde af te dwingen. Door het uit onze basislijn te verwijderen in plaats van een bepaalde waarde of geen vervaldatum aan te bevelen, kunnen organisaties kiezen wat het beste past bij hun waargenomen behoeften zonder onze richtlijnen tegen te spreken. Tegelijkertijd moeten we herhalen dat we ten zeerste aanvullende beveiligingen aanbevelen, ook al kunnen deze niet worden uitgedrukt in onze basislijnen.