Windows 10 Версія 1903 не підтримує політику закінчення терміну дії пароля
Windows 10 підтримує два типи облікових записів. Один – це класичний локальний обліковий запис, який був доступний у всіх попередніх версіях Windows, інший – сучасний обліковий запис Microsoft, який пов’язаний з хмарними сервісами компанії. До Windows 10 версії 1903 у Microsoft була настроювана політика закінчення терміну дії пароля для кращої безпеки, починаючи з найперших версій Windows NT. Це змінилося.
Коротше кажучи, тепер Microsoft має такі аргументи проти постійної зміни пароля.
В офіційному блозі зазначено наступне.
Чому ми видаляємо політику терміну дії пароля?
По-перше, щоб уникнути неминучих непорозумінь, ми говоримо тут лише про видалення політика закінчення терміну дії пароля – ми не пропонуємо змінювати вимоги щодо мінімальної довжини пароля, історія, або складність.
Періодичний термін дії пароля є захистом лише від ймовірності того, що пароль (або хеш) буде вкрадено протягом періоду його дії та використовуватиметься неавторизованою особою. Якщо пароль ніколи не вкрали, термін його дії закінчуватись не потрібно. І якщо у вас є докази того, що пароль було вкрадено, ви, імовірно, діяли б негайно, а не чекали закінчення терміну дії, щоб вирішити проблему.
Якщо з огляду на те, що пароль, ймовірно, буде вкрадений, скільки днів є прийнятним періодом часу, щоб злодій міг використовувати цей вкрадений пароль? За замовчуванням Windows становить 42 дні. Чи не здається це смішно довгим часом? Що ж, це так, і все ж наш поточний базовий рівень говорить про 60 днів – а раніше казали 90 днів – тому що примусове часте закінчення терміну придатності створює свої власні проблеми. І якщо це не дано, що паролі будуть вкрадені, ви отримуєте ці проблеми без користі. Крім того, якщо ваші користувачі готові відповідати на опитування на автостоянці, які обмінюють цукерку на свої паролі, ніяка політика закінчення терміну дії пароля вам не допоможе.
Наші базові лінії призначені для використання з мінімальною або будь-якою модифікацією більшістю добре керованих підприємств, які дбають про безпеку. Вони також призначені служити керівництвом для аудиторів. Отже, яким має бути рекомендований термін придатності? Якщо організація успішно запровадила списки заборонених паролів, багатофакторна аутентифікація, виявлення атаки підбору пароля та виявлення аномальних спроб входу, чи потрібен їм періодичний пароль закінчення терміну дії? І якщо вони не впровадили сучасні пом’якшення, наскільки вони дійсно отримають захист від закінчення терміну дії пароля?
Результати сканування базової відповідності зазвичай вимірюються тим, скільки налаштувань не відповідають вимогам: «Скільки у нас червоного на графіку?» Нерідко під час аудиту організації розглядають показники відповідності як важливіші, ніж реальні безпеки. Якщо базовий рівень рекомендує 60 днів, а організація з розширеним захистом вибирає 365 днів або без закінчення терміну дії взагалі – вони будуть без потреби втягуватися в аудит і можуть бути змушені дотримуватися 60-денного рекомендація.
Періодичний термін дії пароля — це давнє й застаріле пом’якшення дуже низької цінності, і ми не вважаємо, що для нашого базового рівня варто застосовувати будь-яке конкретне значення. Вилучаючи його з нашого базового плану, а не рекомендуючи конкретне значення або відсутність терміну дії, організації можуть вибрати те, що найкраще відповідає їхнім потребам, не суперечивши нашим вказівкам. У той же час ми повинні повторити, що ми наполегливо рекомендуємо додаткові засоби захисту, навіть якщо вони не можуть бути виражені в наших базових показниках.
Таким чином, політика закінчення терміну дії пароля не підтримується, починаючи з Windows 10 версії 1903. Ця зміна не впливає на інші політики щодо паролів, зокрема політики щодо довжини та складності.