许多IT系统都有定期更改密码的强制性规则。 这也许是安全系统最讨厌和最无用的要求。 一些用户作为生活黑客只是在最后更改了号码。
这种做法带来很多不便。 但是,人们不得不忍受,因为这是
为了安全 。 现在,此建议完全不相关。 在2019年5月,甚至Microsoft终于从Windows 10的个人和服务器版本的基本安全要求中删除了定期更改密码的要求:这是一个
官方博客声明,列出了Windows 10 v 1903的更改(请注意短语
删除密码) -需要定期更改密码的过期策略 )。
Microsoft安全合规性工具包1.0包含
Windows 10版本1903和Windows Server 2019安全基准的规则和系统策略本身。
您可以向上司出示这些文件,然后说:时代已经改变。 强制性密码更改-古老,现在几乎正式使用。 即使是安全审核,也将不再验证此要求(如果它侧重于Windows计算机基本保护的官方规则)。
该列表的片段包含Windows 10 v1809的基本安全策略,并在1903年进行了更改,其中不再应用相应的密码过期策略。 顺便说一下,在新版本中,默认情况下也会取消管理员和来宾帐户。微软在博客上流行地解释了为什么它放弃了强制性的密码更改规则:“密码的定期过期只是为了防止密码(或哈希)在其有效期内被盗并被未经授权的人使用的可能性。 如果密码没有被盗,则没有必要进行更改。 而且,如果您有证据证明密码被盗,那么您显然想立即采取行动,而不是等待到期日期解决该问题。”
微软进一步解释说,在现代情况下,使用这种方法保护自己免受密码盗窃是错误的:“如果已知密码很可能会被盗,那么允许小偷使用此被盗密码的允许时间是多少天? 默认值为42天。 看起来时间长得可笑吗? 确实,这是一个很长的时间,但是我们当前的基准设置为60天-之前为90天-因为强制频繁到期会带来自身的问题。 而且,如果密码不一定被盗,那么您将得到这些问题而没有任何好处。 另外,如果您的用户愿意将密码换成糖果,那么密码过期策略将无济于事。”
另类
Microsoft写道,其基本安全策略旨在供管理良好,注重安全性的企业使用。 他们还被要求为审核员提供指导。 如果这样的组织已实施了禁用密码列表,多因素身份验证,使用密码暴力检测攻击并检测到异常登录系统的尝试,是否需要定期使密码过期? 如果他们还没有实现现代安全功能,那么密码过期对他们有帮助吗?
微软的逻辑令人信服。 我们有两个选择:
- 该公司已实施了现代化的安全措施。
- 该公司尚未实施现代安全措施。
在第一种情况下,定期更改密码不会带来其他好处。
在第二种情况下,定期更改密码是没有用的。
因此,首先必须使用
多因素身份验证来代替密码过期。 上面列出了其他安全措施:禁止的密码列表,暴力检测和其他异常的登录尝试。
微软总结道:“
定期密码过期是一种古老而过时的安全措施 ,”我们认为基本保护级别不应使用任何特定值。 通过从我们的基础级别上删除它,组织可以选择最适合其预期需求的内容,而不会与我们的建议相抵触。”
结论
如果今天一家公司强迫用户定期更改密码,那么外部观察者会怎么想?
- 鉴于:公司使用了古老的防御机制。
- 假设:该公司尚未实施现代防御机制。
- 结论:这些密码更易于获取和使用。
事实证明,定期更改密码使该公司成为更具吸引力的攻击目标。
