考虑安全密码很难,因此要求用户每隔60天更改密码会使许多人感到恐惧并导致安全性降低。Microsoft已经意识到这一点,并决定删除默认密码到期作为Windows 10中的安全基准功能。
当组织将Windows 10部署到数十,数百甚至数千名员工时,默认安全性非常重要。这就是为什么Microsoft提供Windows安全基准,其中包括一组Microsoft推荐的配置设置,可以依赖它们来提供更安全的操作系统。
作为基准的一部分,Microsoft过去规定了60天的密码过期策略,这意味着每个用户每隔几个月就被迫更改密码(除非组织更改了配置)。正如Ars Technica报道的那样,随着Windows 10 v1903的发布,密码到期将从基线中删除,因为它实际上对安全性有害。
微软在其最新的Windows安全基线草案中解释说,“当人们被迫更改密码时,他们经常会对现有密码做出小的可预测的更改,并且/或者忘记他们的新密码......周期性密码到期只是针对密码(或哈希)在其有效期间内被盗的概率,并且将被未经授权的实体使用。如果密码永远不会被盗,则无需使密码过期。
微软还指出,如果密码被盗,小偷最多有60天的时间根据此过期策略使用它,这是进入系统并导致混乱的充足时间。因此,在每个级别上,密码到期根本不起作用,这就是它消失的原因。
密码仍然需要满足最小长度要求,足够复杂以便不容易猜到,以前没有使用过,并且安全存储。个别组织可能仍然会执行自己的过期策略,但似乎每隔几个月对新密码的需求将影响到更少的工作人员,这对他们的理智和安全都是好事。