不必再定期改密碼了！Windows 桌機及Server版可望拿掉密碼過期政策

每三個月變更一次密碼的夢魘可望不再！微軟公佈Windows 10 桌機版及Windows Server 1903版Windows 10 1903（即19H1）及Windows Server 1903版安全基準設定草案，其中最值得注意是將拿掉要求定期變更密碼的密碼過期政策。

密碼安全問題由來已久，因為當使用者被要求或強迫想出一組很難記憶的密碼時，他們通常會寫下來而被別人看到，而被要求變更密碼時，使用者也只會做出很小且可預測的變更，要不然就是忘記新密碼。微軟說，定期變更密碼唯一的好處是，當密碼或相關的雜湊被偷時，能偵測或阻止非法存取行為。但如果密碼都不會被偷，就沒有必要設定有效限期。而且一旦密碼被偷，正常用戶會立即變更密碼，而不會傻傻等他人來存取，或祈禱密碼有效期限發揮保護。

微軟承認，定期使密碼過期是古早且過時的安全作法，效益極低，微軟現在不認為還有必要在安全基準要求中保留這條政策。而在移除密碼有效期限後，企業可以選最適合他們的安全管理措施。

但微軟澄清這次變更是拿掉密碼過期政策，而不是鼓勵企業拿掉密碼長度限制、放任重覆使用密碼、或降低密碼複雜性。

微軟重申，他們仍強烈建議企業採取額外的防護措施，像是實施禁用密碼清單（如123456、password）、多因素驗證、導入密碼猜測攻擊或異常登入的偵測技術等，只是這些作法並不會加入到Windows群組政策（Group Policy）內建的建議安全組態基準中。

此外，這次草案中，微軟也正在考慮把強制預設關閉管理員（Administrator）及訪客（Guest）帳號的措施移除。Windows 也不會預設啟用，管理員可視需求手動啟用兩者。微軟也歡迎用戶回饋意見。

其他方面，本草案還加入BitLocker磁碟加密法、網域控制器安全基準、檔案總管（File Explorer）、App隱私設定、svchost.exe執行的服務等安全相關的變更。