Windows 10 Versiunea 1903 depreciază politicile de expirare a parolelor
Windows 10 acceptă două tipuri de conturi. Unul este contul local clasic care a fost disponibil în toate versiunile anterioare de Windows, celălalt este contul modern Microsoft care este conectat la serviciile cloud ale companiei. Înainte de Windows 10 versiunea 1903, Microsoft avea politici de expirare a parolelor configurabile pentru o securitate mai bună, care datează de la cele mai vechi versiuni de Windows NT. Acest lucru sa schimbat.
Pe scurt, Microsoft are acum următoarele argumente împotriva schimbării continue a parolei.
Postarea oficială pe blog afirmă următoarele.
De ce eliminăm politicile de expirare a parolelor?
În primul rând, pentru a încerca să evităm neînțelegerile inevitabile, vorbim aici doar despre eliminare politici de expirare a parolei – nu propunem modificarea cerințelor pentru lungimea minimă a parolei, istorie sau complexitate.
Expirarea periodică a parolei este o apărare numai împotriva probabilității ca o parolă (sau hash) să fie furată în timpul intervalului de valabilitate și să fie utilizată de o entitate neautorizată. Dacă o parolă nu este furată niciodată, nu este nevoie să o expirați. Și dacă aveți dovezi că o parolă a fost furată, probabil că ați acționa imediat în loc să așteptați expirarea pentru a remedia problema.
Dacă este un dat că o parolă este probabil să fie furată, câte zile este o perioadă acceptabilă de timp pentru a permite hoțului să folosească acea parolă furată? Valoarea implicită Windows este de 42 de zile. Nu vi se pare o perioadă ridicol de lungă? Ei bine, este, și totuși, valoarea noastră de bază actuală spune 60 de zile – și obișnuia să spună 90 de zile – pentru că forțarea expirării frecvente introduce propriile probleme. Și dacă nu se știe că parolele vor fi furate, obțineți acele probleme fără niciun beneficiu. În plus, dacă utilizatorii dvs. sunt genul care este dispuși să răspundă la sondaje în parcare care schimbă o bomboană cu parolele lor, nicio politică de expirare a parolelor nu vă va ajuta.
Liniile noastre de referință sunt destinate să fie utilizabile cu modificări minime, dacă nu există, de către majoritatea întreprinderilor bine gestionate, conștiente de securitate. Ele sunt, de asemenea, menite să servească drept ghid pentru auditori. Deci, care ar trebui să fie perioada de expirare recomandată? Dacă o organizație a implementat cu succes liste de parole interzise, autentificarea cu mai mulți factori, detectarea atacurile de ghicire a parolelor și detectarea încercărilor anormale de conectare, au nevoie de vreo parolă periodică expirare? Și dacă nu au implementat măsuri moderne de atenuare, câtă protecție vor câștiga cu adevărat de la expirarea parolei?
Rezultatele scanărilor de conformitate de bază sunt de obicei măsurate prin câte setări nu sunt conforme: „Cât de mult roșu avem pe diagramă?” Nu este neobișnuit ca organizațiile în timpul auditului să trateze cifrele de conformitate ca fiind mai importante decât în lumea reală Securitate. Dacă o valoare de referință recomandă 60 de zile și o organizație cu protecție avansată optează pentru 365 de zile – sau fără expirare deloc – vor fi supuși unui audit în mod inutil și ar putea fi obligați să respecte termenul de 60 de zile recomandare.
Expirarea periodică a parolei este o atenuare veche și învechită de valoare foarte mică și nu credem că merită ca valoarea noastră de bază să impună o anumită valoare. Îndepărtându-l din linia de bază, în loc să recomand o anumită valoare sau fără expirare, organizațiile pot alege ceea ce se potrivește cel mai bine nevoilor lor percepute, fără a contrazice îndrumările noastre. În același timp, trebuie să reiterăm că recomandăm cu tărie protecții suplimentare, chiar dacă acestea nu pot fi exprimate în liniile noastre de bază.
Deci, politicile de expirare a parolei sunt depreciate începând cu Windows 10 versiunea 1903. Această modificare nu afectează alte politici de parole, inclusiv politicile privind lungimea și complexitatea.
