周三,微软发布 Windows 10 版本1903 的安全配置基线设置草案时提出,由于强制人们定期重置密码损害安全性,因此决定取消 Windows 中的密码过期策略。

发布的草案由电子表格、配置文件和其它文档组成,包括对 Windows 10和 Windows Server 2019版本基础安全设置的多种更改。草案的更改包括添加“应用隐私 (App Privacy)”设置,阻止用户在系统锁定时使用语音和应用程序进行交互。微软同时释放了具体的 BitLocker 驱动加密方法和密码强度设置,从要求256位加密改变为默认128位加密,因为“我们的加密专家表示,在可预见的未来,该算法不存在崩溃的危险”。

弃用定期重置密码策略

但最受人欢迎的改变是弃用几乎人人都厌烦的定期重置密码策略。微软解释称,最新研究对密码过期策略的效果提出质疑。这项研究可能指的是2010年北卡罗纳州立大学研究发现,密码重置策略导致安全性变弱,因为人们倾向于基于旧密码设置新密码。

这项研究还证实称,人类挑选的密码通常太弱而无法避开暴力破解攻击。不过这是关于密码不当的另一个问题,最近已通过硬件认证密钥开始得到解决。

不管怎样,微软终于认识到密码过期策略弊大于利的情况。微软网络安全团队的首席顾问 Aaron Margosis 解释称,“当人们被强制更改密码时,他们通常会对现有密码做出微小的可预测的修改,并/或忘记其新密码。”

不过,这并不是说微软将阻止公司实现密码过期策略。Windows 客户仍然可以这么做,虽然这么做毫无必要且让人烦心。不过从 Windows 基线删除密码重置策略,合规审计将不再标记和预期基线的差异。

本文由代码卫士翻译自theregister

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。