微软正在考虑放弃其Windows密码过期策略

 
据悉，Microsoft建议在Windows中废除一项要求用户定期更改其登录密码的策略。
在一篇博客文章中，该软件巨头称其新的草案安全配置基线设置将不再强制其帐户受网络组策略控制的用户每隔几周或几个月更改一次密码。
Microsoft的草案安全基准文档包括影响公司网络上整个用户组的建议策略，包括限制某些功能和服务以防止滥用或滥用的规则，以及锁定恶意软件可能用于攻击系统的某些功能或网络。
该公司表示，现有的密码更改政策是“非常低价值的古老而过时的缓解”，该公司不再“相信它值得”。
这是微软的Aaron Margosis所说的：
定期密码到期只是针对密码(或散列)在其有效时间间隔内被盗的概率，并且将被未经授权的实体使用。如果密码永远不会被盗，则无需使密码过期。如果您有证据证明密码被盗，您可能会立即采取行动，而不是等待到期以解决问题。
如果密码很可能被盗，那么继续允许小偷使用该被盗密码的时间是多少天? Windows默认为42天。这看起来不是很荒谬吗?嗯，它是，然而我们目前的基线是60天 – 过去说90天 – 因为强迫频繁到期会引入自己的问题。如果没有给出密码被盗的信息，你就会获得这些问题而没有任何好处。此外，如果您的用户是那种愿意在停车场回答调查问卷以获取密码的人，那么没有密码到期政策可以帮助您。
通过从基线中删除它而不是推荐特定值或没有到期，组织可以选择最适合其感知需求的任何内容，而不会违反我们的指导。与此同时，我们必须重申，我们强烈建议采取其他保护措施，即使这些措施不能在我们的基线中表达。
换句话说，微软希望使用强大，长而独特的密码，而不是定期更改密码。
每隔几周或几个月更换一次密码不仅会让普通用户感到沮丧，而且有人认为它确实弊大于利。前联邦贸易委员会首席技术专家Lorrie Cranor在一篇2016年的博客文章中表示，强迫用户经常更改密码会导致密码变弱。
“研究人员还指出，已经知道用户密码的攻击者不太可能因密码更改而受阻，”她写道。 “一旦攻击者知道密码，他们通常就能轻易猜出用户的下一个密码。”
不久之后，美国国家标准与技术研究院(NIST)就联邦政府的网络安全实践和政策提出建议，修改了自己的建议，取消了定期更改密码的政策。
Bill Burr，已经退休的NIST经理，制定了2003年推荐密码到期政策的政策，对2017年的政策采访表示遗憾，称该规则“实际上对可用性产生了负面影响”。