Microsoft实现密码过期安全性较差

在工作中使用Windows 10通常意味着每60天更改一次密码。现在微软正在删除过时的安全策略。

考虑安全密码很难，因此要求用户每隔60天更改密码会使许多人感到恐惧并导致安全性降低。Microsoft已经意识到这一点，并决定删除默认密码到期作为Windows 10中的安全基准功能。

当组织将Windows 10部署到数十，数百甚至数千名员工时，默认安全性非常重要。这就是为什么Microsoft提供Windows安全基准，其中包括一组Microsoft推荐的配置设置，可以依赖它们来提供更安全的操作系统。

作为基准的一部分，Microsoft过去规定了60天的密码过期策略，这意味着每个用户每隔几个月就被迫更改密码(除非组织更改了配置)。正如Ars Technica报道的那样，随着Windows 10 v1903的发布，密码到期将从基线中删除，因为它实际上对安全性有害。

微软在其最新的Windows安全基线草案中解释说，“当人们被迫更改密码时，他们经常会对现有密码做出小的可预测的更改，并且/或者忘记他们的新密码......周期性密码到期只是针对密码(或哈希)在其有效期间内被盗的概率，并且将被未经授权的实体使用。如果密码永远不会被盗，则无需使密码过期。

微软还指出，如果密码被盗，小偷最多有60天的时间根据此过期策略使用它，这是进入系统并导致混乱的充足时间。因此，在每个级别上，密码到期根本不起作用，这就是它消失的原因。

密码仍然需要满足最小长度要求，足够复杂以便不容易猜到，以前没有使用过，并且安全存储。个别组织可能仍然会执行自己的过期策略，但似乎每隔几个月对新密码的需求将影响到更少的工作人员，这对他们的理智和安全都是好事。