微软摒弃Windows 10的密码过期策略

图片来源：Evan Lorne / Shutterstock

大多数人都不善于创建，记忆和存储密码，这已经不是什么秘密了。公司已经尝试了各种方法来解决这个问题，从日益复杂的密码要求到强烈的数据泄露之后的强制密码重置。但也许没有人比过期的密码更令人沮丧。这就是微软决定放弃Windows 10的密码到期策略的原因。

该公司在5月23日的微软安全指南博客上表示，Windows的密码过期策略经常让人们感到沮丧，而实际上并没有让他们更加安全。微软首席顾问Aaron Margosis写道：“定期密码过期是一种古老而过时的非常低价值的缓解，我们并不认为我们的基线强制执行任何具体价值是值得的。”

微软通过重新考虑密码过期策略在现实世界中如何运作来达成这一结论。事实证明，从方便或安全的角度来看，让密码在设定的时间间隔内工作并不是特别有用。因此，微软决定取消其基准并鼓励其他公司考虑他们的个人需求，而不是继续为此问题做出贡献。

以下是问题：

强迫人们定期更改密码会鼓励他们使用相同“基本”密码的微小变体（例如将“Ilovemydog12”更改为“Ilovemydog13”），因为它们更容易提交内存。然而，这无法设置新密码的目的，因为任何值得他们不祥的灰色连帽衫的黑客都会测试受损密码的变体，看看它们是否有效。

密码过期策略假定密码可以在一段时间内被泄露。这将因组织而异;我们怀疑妈妈和流行音乐的杂项。与财富500强公司相比，商店更关心其系统的安全性。当有人依靠过期密码作为防御未经授权访问的唯一防御形式时，这一点尤其麻烦。

人们总是忘记密码。虽然这与第一个问题有关，但它也会给那些按设定的时间间隔自动使密码失效的组织带来新的挑战。这些健忘的工人是否必须创建新帐户？ IT部门是否会不假期地重置密码？在导致问题之前，有人可以多少次输入上一周的密码？

确实，人们不善于使用基于密码的安全系统。但密码过期策略通过让这些人创建更多密码来解决“我们不能相信这些人保护他们的密码安全”的问题。这对于定期更改已经在努力跟踪其密钥的人的锁定非常有用。让我们希望微软决定修改Windows的密码过期政策将鼓励更多的组织重新考虑他们确实需要做些什么以保证自己的安全。