Microsoft将其告知它向NIX过时的密码重置练习
微软上周建议组织不再强迫员工每60天提出新密码。
该公司致力于实践 - 一旦企业身份管理的基石 - “古老和陈旧”,因为它告诉IT管理员,其他方法在保持用户安全方面更有效。
“周期性密码到期是一种古老而过时的减轻了非常低的价值,我们不相信我们的基线对执行任何特定价值,”微软首席顾问的亚伦击沉,在帖子中写道公司博客。
在最新的Windows 10的安全配置基准中 - 一个尚未通用的发布的草稿“2019年5月更新”,AKA 1903 - Microsoft删除了应该经常更改密码的想法。Windows安全配置基准是一个大规模的推荐组策略及其设置,伴随着报告,脚本和分析仪。以前的基准已建议企业和其他组织为每60天授权每60天的密码。(那是从90天早些时候的下降。)
不再。
放大率承认,自动过期密码的政策 - 以及设置安全标准的其他组政策 - 通常是误导。“通过Windows强制执行的古老密码策略的一小部分”安全模板并不是并且不能成为用户凭据管理的完整安全策略“,”他说。但是,“更好的实践”不能通过组策略中的集合值来表示并编码为模板。“
在那些其他,更好的实践中,击贴提到的多因素认证 - 也称为双因素认证 - 并禁止弱,易受攻击,容易猜测或经常显示的密码。
微软不是第一个怀疑公约的人。
两年前,美国国立标准与技术研究所(NIST),美国商务部的扶手,使其变得类似的论据,因为它将定期密码替代。“Verifiers不应该要求记忆秘密被任意改变(例如,定期),”NIST在2017年6月版本的SP 800-63,“数字身份指南”的常见问题下,使用“记忆秘密”术语在位“密码”。
然后,该研究所已经解释了为什么强制密码更改是一种错误的想法:“当他们知道他们必须在不久的将来改变它们时,用户倾向于选择较弱的记忆秘密。当那些改变发生时,他们经常通过应用一组常见的变换,例如增加密码中的数字,选择一个类似于他们旧的记忆秘密的秘密。“
NIST和Microsoft敦促组织在有证据表明密码被盗或以其他方式妥协时需要密码重置。如果他们没有被触摸?“如果密码从未被盗,则没有必要过期,”微软的码头说。
“无论如何,谁与微软的逻辑与微软的逻辑同意的是,SANS学院的新兴安全趋势总监John Pescatore表示。“迫使每个员工在某些任意时期更改密码几乎总是会导致在密码重置过程中出现的更多漏洞(因为现在忘记了用户的密码频繁庞大),这增加了强制密码重置的风险。”
像微软和NIST一样,Pescatore认为定期密码重置是小心灵的Hobgoblins。“作为基准的一部分,”拥有[此]使安全团队更容易索取合规性,因为审计师很高兴,“Pescatore说。“专注于密码重置合规是15年前萨班斯 - 奥克斯利审计浪费的所有资金的一大部分。合规性如何没有*平等安全的伟大举例。“*
其他地方在Windows 10 1903年的基线草案中,Microsoft还删除了BitLocker驱动器加密方法及其密码强度的策略。先前的建议是使用最强大的BitLocker加密,但Microsoft表示,它是矫枉过正:(“我们的Crypto专家告诉我们,在可预见的未来没有已知的[128位加密]的危险,”微软的放位数争夺。)它可以很容易地降低设备性能。
Microsoft还要求反馈另一个拟议的更改,这些更改将转储强制禁用Windows“内置访客帐户。“从基线中删除这些设置并不意味着我们建议启用这些帐户,也不会删除这些设置意味着帐户将被启用,”码头表示。“从基线中删除设置只意味着管理员现在可以选择根据需要启用这些帐户。”
基线草案可以从Microsoft的网站下载为.zip存档文件。