首页 > 新闻资讯 > IT新闻 >

微软建议组织不要再强迫员工每60天更新密码

定期密码过期是一种古老且过时的极低价值缓解,我们认为我们的基线不值得执行任何具体价值
微软上周建议组织不再强迫员工每60天提出一次新密码。
 
该公司称这种做法曾经是企业身份管理的基石 - “古老而过时”,因为它告诉IT管理员,其他方法在保证用户安全方面更有效。
 
微软的首席顾问Aaron Margosis在一篇公司博客的帖子中写道:“定期密码过期是一种古老且过时的极低价值缓解,我们认为我们的基线不值得执行任何具体价值。” 
 
在最新的Windows 10安全配置基线 - 一个尚未发布的“2019年5月更新”(又名1903)的草案中,微软放弃了密码应该经常更改的想法。 Windows安全配置基线是推荐的组策略及其设置的大量集合,并附有报告,脚本和分析器。以前的基线曾建议企业和其他组织每60天更改一次密码。 (这比早期的90天有所下降。)
 
 
Margosis承认,自动使密码失效的政策以及其他设定安全标准的集团政策往往被误导。 “通过Windows安全模板强制执行的一小套古老密码策略不是也不可能是用户凭据管理的完整安全策略,”他说。 “然而,更好的做法不能通过组策略中的设定值表示并编码到模板中。”
 
在其他更好的实践中,Margosis提到了多因素身份验证 - 也称为双因素身份验证 - 并禁止弱,易受攻击,易于猜测或经常泄露的密码。
 
两年前,美国商务部的一个分支机构国家标准与技术研究院(NIST)提出了类似的论点,因为它降低了常规密码更换的等级。 “验证者不应该要求记忆秘密被任意改变(例如,定期),”NIST在随附2017年6月版SP 800-63的“常见问题解答”中说,“数字身份指南”,使用“记忆秘密”一词“密码”。
 
然后,该研究所解释了为什么强制密码更改是一个坏主意:“用户倾向于选择较弱的记忆秘密,当他们知道他们将不得不在不久的将来改变它们。当这些变化确实发生时,他们经常选择一个通过应用一组常见的转换(例如增加密码中的数字),类似于旧的记忆秘密的秘密。“
 
当有证据证明密码被盗或以其他方式受到损害时,NIST和微软都敦促组织要求密码重置。如果他们没有被触及? “如果密码永远不会被窃。?兔挥斜匾?盟??,”微软的Margosis表示。
 
SANS Institute新兴安全趋势主管John Pescatore说:“我同意100%的微软对企业的逻辑,这些企业无论如何都使用[集体政策]。” “强迫每个员工在任意时间段更改密码几乎总是会导致更多的漏洞出现在密码重置过程中(因为现在频繁出现用户忘记密码的高峰),这会增加风险,而强制密码重置会减少它。”
 
像微软和NIST一样,Pescatore认为定期密码重置是小脑袋的大地精。 “将[这个]作为基线的一部分,安全团队可以更容易地声称合规,因为审计人员很高兴,”Pescatore说。 “专注于密码重置合规性是15年前滥用萨班斯 - 奥克斯利法案审计所浪费的所有资金的一个重要部分。合规性如何不等同于安全性的好例子。”*
 
在Windows 10 1903草案基线的其他地方,Microsoft还删除了BitLocker驱动器加密方法及其密码强度的策略。微软表示,先前的建议是使用最强大的BitLocker加密技术,但这种做法有点过分了:(“我们的加密专家告诉我们,在可预见的未来,[128位加密]没有被破坏的危险,”Margosis微软争辩说。)它很容易降低设备性能。
 
微软还要求对另一项提议的更改提出反。?庑└?慕??⑶恐平?肳indows内置的访客和管理员帐户。 “从基线中删除这些设置并不意味着我们建议启用这些帐户,也不会删除这些设置意味着将启用帐户,”Margosis说。 “从基线中删除设置只是意味着管理员现在可以选择启用
?