Microsoft将其告知它向NIX过时的密码重置练习
丹麦政府将200欧元注入AI R&D
Bitlocker在自加密的SSD上吹来; Microsoft建议您切换到软件保护
现在使用全纤维的超过半百万个家庭作为访问改进
从备份中安装Windows 7?你马上需要一个BitLocker补丁
苹果不是一个人:数据确认智能手机扇区减速
澳大利亚的MyRiota将传感器连接到太空任务中
WWDC:Apple的iOS 13 NFC改进适合业务
大型浏览器在20年代提前拉动支持插头1.0和1.1加密协议
区块链是如何帮助咖啡产业计数豆类
IT Trainblazer Maggie Berry的妇女得到了奥贝
在Mozilla的铅之后,微软将边缘推到防跟踪带上
Windows 10 Pro:比以往任何时候都更加死胡同
微软开始销售Windows 7 Add-on Support 4月1日
CIO采访:Kieran Delaney,Itnserver主任
政府增加努力促进验证
Zopa在2019年的银行发布准备好的内部技术
Windows 10版本1607和1709的支持绑定结束
工业部门因私人5G的想法而越来越诱惑
安装本周Win101809补丁KB 4490481后,在安装本周后的蓝屏可靠报告
我们如何了解大,可怕,漏洞的,紧急修补的IE安全孔CVE-2019-1367?
英国董事会忽略£30亿英镑的网络风险
在司法中的算法使用算法可以破坏公众信任和个人权利
人们如何对Apple的WWDC新闻作出反应?
Chrome将在7月份在全球范围内拍摄
小企业不一定是最薄弱的安全链接
Google通过协作,AI,集成功能提升G套房
Apple希望阻止您使用危险的USB-C设备
CDEI发布关于在线定位和偏见的报告
谷歌yanks选项恢复Chrome的旧UI;用户解除'丑陋'新外观
Ofcom获得了新的OpenReach访问模型
Gartner:区块链缺乏企业所需的功能
合作社推动以使客户服务团队更合作
orvibo数据泄漏将安全焦点放在IoT后端
大多数移动应用程序容易受恶意软件
由于数字化,三分之一的工作可能变得冗余
网络钓鱼攻击突出了大学的网络安全需求
TNMOC展示了WREN COLOSUS运营商在D日的作用
'我们需要新的隐私法,'敦促Apple Ceo Tim Cook
邮局要求上诉法院允许在首先审判审判
智能手机制造商将自己脱离市场
FDA将考虑区块链,追踪和追踪食物
Deutsche Bank的公共收缩是金融气的主要标志性标志
Apple零售为我们其他人提供企业级MDM
缺乏技能和所有权对OT安全的最大挑战
英国政府能够提升AI和预防医疗保健的数据使用
九周后,微软恢复其违法的Win10 1809推出 - 但仅适用于寻求者
首先修复基础知识,然后担心AI,建议专家
NCSC首席Ciaran Martin表示,网络安全最大挑战弱
英国科技最具影响力的女性:2019年的Longlist.
您的位置:首页 >科技 > 消费电子 >

Microsoft将其告知它向NIX过时的密码重置练习

2021-08-30 13:44:13 [来源]:

微软上周建议组织不再强迫员工每60天提出新密码。

该公司致力于实践 - 一旦企业身份管理的基石 - “古老和陈旧”,因为它告诉IT管理员,其他方法在保持用户安全方面更有效。

“周期性密码到期是一种古老而过时的减轻了非常低的价值,我们不相信我们的基线对执行任何特定价值,”微软首席顾问的亚伦击沉,在帖子中写道公司博客。

在最新的Windows 10的安全配置基准中 - 一个尚未通用的发布的草稿“2019年5月更新”,AKA 1903 - Microsoft删除了应该经常更改密码的想法。Windows安全配置基准是一个大规模的推荐组策略及其设置,伴随着报告,脚本和分析仪。以前的基准已建议企业和其他组织为每60天授权每60天的密码。(那是从90天早些时候的下降。)

不再。

放大率承认,自动过期密码的政策 - 以及设置安全标准的其他组政策 - 通常是误导。“通过Windows强制执行的古老密码策略的一小部分”安全模板并不是并且不能成为用户凭据管理的完整安全策略“,”他说。但是,“更好的实践”不能通过组策略中的集合值来表示并编码为模板。“

在那些其他,更好的实践中,击贴提到的多因素认证 - 也称为双因素认证 - 并禁止弱,易受攻击,容易猜测或经常显示的密码。

微软不是第一个怀疑公约的人。

两年前,美国国立标准与技术研究所(NIST),美国商务部的扶手,使其变得类似的论据,因为它将定期密码替代。“Verifiers不应该要求记忆秘密被任意改变(例如,定期),”NIST在2017年6月版本的SP 800-63,“数字身份指南”的常见问题下,使用“记忆秘密”术语在位“密码”。

然后,该研究所已经解释了为什么强制密码更改是一种错误的想法:“当他们知道他们必须在不久的将来改变它们时,用户倾向于选择较弱的记忆秘密。当那些改变发生时,他们经常通过应用一组常见的变换,例如增加密码中的数字,选择一个类似于他们旧的记忆秘密的秘密。“

NIST和Microsoft敦促组织在有证据表明密码被盗或以其他方式妥协时需要密码重置。如果他们没有被触摸?“如果密码从未被盗,则没有必要过期,”微软的码头说。

“无论如何,谁与微软的逻辑与微软的逻辑同意的是,SANS学院的新兴安全趋势总监John Pescatore表示。“迫使每个员工在某些任意时期更改密码几乎总是会导致在密码重置过程中出现的更多漏洞(因为现在忘记了用户的密码频繁庞大),这增加了强制密码重置的风险。”

像微软和NIST一样,Pescatore认为定期密码重置是小心灵的Hobgoblins。“作为基准的一部分,”拥有[此]使安全团队更容易索取合规性,因为审计师很高兴,“Pescatore说。“专注于密码重置合规是15年前萨班斯 - 奥克斯利审计浪费的所有资金的一大部分。合规性如何没有*平等安全的伟大举例。“*

其他地方在Windows 10 1903年的基线草案中,Microsoft还删除了BitLocker驱动器加密方法及其密码强度的策略。先前的建议是使用最强大的BitLocker加密,但Microsoft表示,它是矫枉过正:(“我们的Crypto专家告诉我们,在可预见的未来没有已知的[128位加密]的危险,”微软的放位数争夺。)它可以很容易地降低设备性能。

Microsoft还要求反馈另一个拟议的更改,这些更改将转储强制禁用Windows“内置访客帐户。“从基线中删除这些设置并不意味着我们建议启用这些帐户,也不会删除这些设置意味着帐户将被启用,”码头表示。“从基线中删除设置只意味着管理员现在可以选择根据需要启用这些帐户。”

基线草案可以从Microsoft的网站下载为.zip存档文件。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。