Windows 10 เวอร์ชัน 1903 เลิกใช้นโยบายการหมดอายุของรหัสผ่าน
Windows 10 รองรับบัญชีสองประเภท หนึ่งคือบัญชีท้องถิ่นแบบคลาสสิกซึ่งมีอยู่ใน Windows เวอร์ชันก่อนหน้าทั้งหมด อีกบัญชีหนึ่งคือบัญชี Microsoft ที่ทันสมัยซึ่งเชื่อมต่อกับบริการคลาวด์ของบริษัท ก่อน Windows 10 เวอร์ชัน 1903 Microsoft มีนโยบายการหมดอายุรหัสผ่านที่กำหนดค่าได้เพื่อความปลอดภัยที่ดีขึ้นย้อนหลังไปถึง Windows NT เวอร์ชันแรกสุด นี้มีการเปลี่ยนแปลง
กล่าวโดยย่อ ขณะนี้ Microsoft มีข้อโต้แย้งต่อไปนี้เกี่ยวกับการเปลี่ยนรหัสผ่านอย่างต่อเนื่อง
โพสต์บล็อกอย่างเป็นทางการระบุต่อไปนี้
เหตุใดเราจึงลบนโยบายการหมดอายุของรหัสผ่าน
อันดับแรก เพื่อหลีกเลี่ยงความเข้าใจผิดที่หลีกเลี่ยงไม่ได้ เรากำลังพูดถึงเฉพาะการลบออกเท่านั้น นโยบายการหมดอายุของรหัสผ่าน – เราไม่ได้เสนอการเปลี่ยนแปลงข้อกำหนดสำหรับความยาวรหัสผ่านขั้นต่ำ ประวัติศาสตร์หรือความซับซ้อน
การหมดอายุของรหัสผ่านเป็นระยะเป็นการป้องกันเฉพาะกับความน่าจะเป็นที่รหัสผ่าน (หรือแฮช) จะถูกขโมยในช่วงระยะเวลาที่ใช้งานได้และจะถูกใช้โดยหน่วยงานที่ไม่ได้รับอนุญาต หากรหัสผ่านไม่เคยถูกขโมย ก็ไม่จำเป็นต้องทำให้รหัสผ่านหมดอายุ และถ้าคุณมีหลักฐานว่ารหัสผ่านถูกขโมย คุณอาจจะดำเนินการทันทีแทนที่จะรอให้หมดอายุเพื่อแก้ไขปัญหา
หากมีการระบุว่ารหัสผ่านมีแนวโน้มที่จะถูกขโมย ระยะเวลาที่ยอมรับได้ในการอนุญาตให้ขโมยใช้รหัสผ่านที่ถูกขโมยนั้นเป็นเวลากี่วัน ค่าเริ่มต้นของ Windows คือ 42 วัน ดูเหมือนเวลาที่ยาวนานอย่างน่าขันไม่ใช่หรือ? ก็ใช่ แต่พื้นฐานปัจจุบันของเราบอกว่า 60 วัน - และเคยบอกว่า 90 วัน - เนื่องจากการบังคับให้หมดอายุบ่อยครั้งทำให้เกิดปัญหาของตัวเอง และหากไม่มีการกำหนดให้รหัสผ่านถูกขโมย คุณก็จะได้รับปัญหาเหล่านั้นโดยไม่เกิดประโยชน์ นอกจากนี้ หากผู้ใช้ของคุณเป็นคนประเภทที่ยินดีตอบแบบสำรวจในลานจอดรถที่แลกเปลี่ยนลูกกวาดเป็นรหัสผ่าน นโยบายการหมดอายุของรหัสผ่านก็ช่วยคุณได้
ข้อมูลพื้นฐานของเรามีจุดมุ่งหมายเพื่อให้ใช้งานได้โดยน้อยที่สุดหากมีการปรับเปลี่ยนใดๆ โดยองค์กรส่วนใหญ่ที่ได้รับการจัดการอย่างดีและคำนึงถึงความปลอดภัย พวกเขายังมีวัตถุประสงค์เพื่อใช้เป็นแนวทางสำหรับผู้ตรวจสอบบัญชี ดังนั้นระยะเวลาหมดอายุที่แนะนำควรเป็นอย่างไร? หากองค์กรดำเนินการรายการรหัสผ่านที่ถูกแบน, การตรวจสอบสิทธิ์แบบหลายปัจจัย, การตรวจจับ. สำเร็จแล้ว การโจมตีโดยเดารหัสผ่าน และการตรวจจับความพยายามเข้าสู่ระบบที่ผิดปกติ จำเป็นต้องมีรหัสผ่านเป็นระยะๆ หรือไม่ หมดอายุ? และหากพวกเขาไม่ได้ใช้การบรรเทาผลกระทบที่ทันสมัย พวกเขาจะได้รับการคุ้มครองมากแค่ไหนจากการหมดอายุของรหัสผ่าน
โดยปกติแล้ว ผลลัพธ์ของการสแกนการปฏิบัติตามข้อกำหนดพื้นฐานจะวัดจากจำนวนการตั้งค่าที่ไม่เป็นไปตามข้อกำหนด: “เรามีสีแดงเท่าใด บนชาร์ต?” ไม่ใช่เรื่องแปลกที่องค์กรระหว่างการตรวจสอบจะถือว่าตัวเลขการปฏิบัติตามข้อกำหนดมีความสำคัญมากกว่าในโลกแห่งความเป็นจริง ความปลอดภัย. หากเส้นฐานแนะนำ 60 วันและองค์กรที่มีการป้องกันขั้นสูงเลือกใช้ 365 วัน – หรือไม่มีวันหมดอายุ เลย – พวกเขาจะโดนตรวจสอบโดยไม่จำเป็นและอาจถูกบังคับให้ปฏิบัติตาม 60 วัน คำแนะนำ
การหมดอายุของรหัสผ่านเป็นระยะเป็นการบรรเทามูลค่าที่ต่ำมากในสมัยโบราณและล้าสมัย และเราเชื่อว่ามันไม่คุ้มค่าสำหรับพื้นฐานของเราในการบังคับใช้ค่าเฉพาะใดๆ ด้วยการลบออกจากพื้นฐานของเรา แทนที่จะแนะนำค่าใดค่าหนึ่งหรือไม่มีวันหมดอายุ องค์กรสามารถเลือกสิ่งที่เหมาะสมกับความต้องการที่พวกเขารับรู้ได้ดีที่สุดโดยไม่ขัดแย้งกับแนวทางของเรา ในเวลาเดียวกัน เราต้องย้ำว่าเราขอแนะนำการป้องกันเพิ่มเติม แม้ว่าจะไม่สามารถแสดงออกในพื้นฐานของเราได้
ดังนั้น นโยบายการหมดอายุของรหัสผ่านจึงเลิกใช้แล้วโดยเริ่มใน Windows 10 เวอร์ชัน 1903 การเปลี่ยนแปลงนี้ไม่มีผลกับนโยบายรหัสผ่านอื่นๆ รวมถึงนโยบายด้านความยาวและความซับซ้อน
