微软今天承认,密码过期策略是一种毫无意义的安全措施。该公司在一篇关于Windows 10 v1903和Windows Server v1903安全基线设置草案的博客文章中写道,这些要求是“一种非常低价值的古老而过时的缓解措施”。微软并没有全面废除密码过期政策,但这篇博客文章表明了该公司的立场:密码过期没什么好处。
正如博客文章所解释的,如果密码从未被盗,就没有必要过期。如果密码被怀疑被盗,您应该立即采取行动,而不是等到过期日期。强制更新还会导致更多用户把密码写下来或完全忘记。此外,正如微软所言,“如果你的用户愿意在停车场回答调查,他们会为密码交换糖果,那么没有密码过期政策可以帮助你。”
该公司承认,密码安全状况存在问题,但它表示,多因素认证和禁用密码列表是更有效的安全措施。微软提议将Windows 10 v1903和Windows Server v1903的密码过期策略从其安全基准中删除,但这只会影响到相对较小的一部分用户。该公司不打算改变最低密码长度、历史或复杂性的要求。虽然它不能在安全基线中包含多因素身份验证或禁用密码列表,但这篇博客文章“强烈建议”用户寻求额外的保护。所以,如果你愿意,你可以继续更新你的密码,但即使是微软也会告诉你这不会保证你的安全。
| 留言与评论(共有 0 条评论) |
