Windows 10 versão 1903 descontinua políticas de expiração de senha

Por que estamos removendo as políticas de expiração de senha?

Em primeiro lugar, para tentar evitar mal-entendidos inevitáveis, estamos falando aqui apenas sobre a remoção políticas de expiração de senha - não estamos propondo alterações nos requisitos de comprimento mínimo de senha, história ou complexidade.

A expiração periódica de senha é uma defesa apenas contra a probabilidade de que uma senha (ou hash) seja roubada durante seu intervalo de validade e seja usada por uma entidade não autorizada. Se uma senha nunca é roubada, não há necessidade de expirá-la. E se você tiver evidências de que uma senha foi roubada, você provavelmente agiria imediatamente, em vez de esperar a expiração para corrigir o problema.

Se for determinado que uma senha provavelmente será roubada, quantos dias é um período de tempo aceitável para continuar a permitir que o ladrão use essa senha roubada? O padrão do Windows é 42 dias. Não parece um tempo ridiculamente longo? Bem, é, e ainda assim nossa linha de base atual diz 60 dias - e costumava dizer 90 dias - porque forçar a expiração frequente apresenta seus próprios problemas. E se não for garantido que as senhas serão roubadas, você adquire esses problemas sem nenhum benefício. Além disso, se seus usuários são do tipo que estão dispostos a responder pesquisas no estacionamento que trocam uma barra de chocolate por suas senhas, nenhuma política de expiração de senha o ajudará.

Nossas linhas de base devem ser utilizáveis ​​com o mínimo, ou nenhuma modificação, pela maioria das empresas bem gerenciadas e preocupadas com a segurança. Também se destinam a servir de orientação para os auditores. Então, qual deve ser o período de validade recomendado? Se uma organização implementou com sucesso listas de senhas banidas, autenticação multifator, detecção de ataques de adivinhação de senha e detecção de tentativas de logon anômalas, eles precisam de alguma senha periódica expiração? E se eles não implementaram atenuações modernas, quanta proteção eles realmente ganharão com a expiração da senha?

Os resultados das varreduras de conformidade de linha de base são geralmente medidos por quantas configurações estão fora de conformidade: “Quanto vermelho temos no gráfico? ” Não é incomum que as organizações durante a auditoria tratem os números de conformidade como mais importantes do que o mundo real segurança. Se uma linha de base recomenda 60 dias e uma organização com proteções avançadas opta por 365 dias - ou sem validade de todo - eles serão prejudicados em uma auditoria desnecessariamente e podem ser compelidos a cumprir o prazo de 60 dias recomendação.

A expiração periódica de senha é uma mitigação antiga e obsoleta de valor muito baixo, e não acreditamos que valha a pena que nossa linha de base imponha qualquer valor específico. Ao removê-lo de nossa linha de base, em vez de recomendar um valor específico ou sem validade, as organizações podem escolher o que melhor se adapta às suas necessidades percebidas, sem contradizer nossa orientação. Ao mesmo tempo, devemos reiterar que recomendamos fortemente proteções adicionais, embora elas não possam ser expressas em nossas linhas de base.

Visão geral de privacidade