圖片來源: 

示意圖

每三個月變更一次密碼的夢魘可望不再!微軟公佈Windows 10 桌機版及Windows Server 1903版Windows 10 1903(即19H1)及Windows Server 1903版安全基準設定草案,其中最值得注意是將拿掉要求定期變更密碼的密碼過期政策。

密碼安全問題由來已久,因為當使用者被要求或強迫想出一組很難記憶的密碼時,他們通常會寫下來而被別人看到,而被要求變更密碼時,使用者也只會做出很小且可預測的變更,要不然就是忘記新密碼。微軟說,定期變更密碼唯一的好處是,當密碼或相關的雜湊被偷時,能偵測或阻止非法存取行為。但如果密碼都不會被偷,就沒有必要設定有效限期。而且一旦密碼被偷,正常用戶會立即變更密碼,而不會傻傻等他人來存取,或祈禱密碼有效期限發揮保護。

微軟承認,定期使密碼過期是古早且過時的安全作法,效益極低,微軟現在不認為還有必要在安全基準要求中保留這條政策。而在移除密碼有效期限後,企業可以選最適合他們的安全管理措施。

但微軟澄清這次變更是拿掉密碼過期政策,而不是鼓勵企業拿掉密碼長度限制、放任重覆使用密碼、或降低密碼複雜性。

微軟重申,他們仍強烈建議企業採取額外的防護措施,像是實施禁用密碼清單(如123456、password)、多因素驗證、導入密碼猜測攻擊或異常登入的偵測技術等,只是這些作法並不會加入到Windows群組政策(Group Policy)內建的建議安全組態基準中。

此外,這次草案中,微軟也正在考慮把強制預設關閉管理員(Administrator)及訪客(Guest)帳號的措施移除。Windows 也不會預設啟用,管理員可視需求手動啟用兩者。微軟也歡迎用戶回饋意見。

其他方面,本草案還加入BitLocker磁碟加密法、網域控制器安全基準、檔案總管(File Explorer)、App隱私設定、svchost.exe執行的服務等安全相關的變更。


Advertisement

更多 iThome相關內容