Win10专业版密码过期：根据微软的说法无用

使密码过期是一种过时的保护用户帐户的方式 - 并且弊大于利。每30或60天到期的密码不仅对于必须发明新密码的用户来说是一个令人头痛的问题，并且记住它，但它们可能根本不会提高安全性。

微软现已改变其立场，取消了对密码过期的建议，这是之前的win10和windows Server安全指南。微软已宣布打算从其指南中删除密码到期。

到期，对密码被盗的回应

正如微软所解释的那样：密码的定期到期只是针对密码（或散列）在其有效期内被盗的可能性，并且将以未经授权的方式使用。

如果密码永远不会被盗，它就不会过期，如果您有证据证明密码被盗，您可能会立即采取行动而不是等待密码。到期以解决问题。并继续说：密码的定期到期是一个旧的，过时的非常低的衰减。

出版商认为，公司应该采取更广泛的认证和安全方法，而不是依赖用户更改密码（然后将其写在帖子上）。

这并不意味着质疑密码的长度，历史或最低复杂性的要求。微软认为，通过从基线中删除密码到期，公司可以做出自己的决定，而不会受到审计员的惩罚。

通过消除我们的原则，而不是推荐期满的特定值或缺乏，企业可以选择最适合他们的需求没有矛盾我们的准则察觉。与此同时，我们必须重申，我们推荐即使它们不能在我们的基线中表达，也会有强烈的额外保护。

微软十多年来一直在预测密码的死亡，并且最近加紧努力使其成为现实。他一直认为密码对企业来说是不切实际，不安全和昂贵的。他认为它应该被多因素身份验证和生物识别技术所取代（尽管生物识别技术有其自身的问题）。

用户有自己的策略

微软并不是唯一一个实现这一飞跃的人。英国国家网络安全中心（NCSC）最近发布了一套密码实践 - 警告说，给用户施加太大压力的糟糕策略可能会降低您的业务安全性。

用户不可避免地会设计自己的应对机制来处理密码过载。这包括在不同的系统上重复使用相同的密码，使用简单且可预测的密码创建策略，或者在可以轻松找到密码的地方编写密码，NCSC警告说。

NCSC建议组织减少对密码的依赖，并在可用时使用单点登录（SSO）或生物识别（具有自身风险）。

监控密码系统的异常行为，使用帐户限制来抵御暴力攻击，并将常见或可猜测的密码列入黑名单是一些最佳实践。据报道。对大型或弱势帐户进行多因素身份验证也是一项很好的策略。

但NCSC表示，强制定期更改密码会损害而不是提高安全性。用户可能会选择与旧密码不同的新密码。此外，黑客通常会立即使用被盗密码，因此将其重置为90天以后更是浪费时间。

尽管安全专家呼吁终止密码的到期，但这种做法在许多（如果不是大多数）组织中仍然很常见。这主要是由于组织惯性 - 有时候经常更改密码似乎是一个好主意，并且技术安全团队没有采用新方法。

在改变IT政策方面也存在很多谨慎态度;没有人想成为质疑现状的人，因此在发生事故时会承担责任。

但是，许多公司依靠积极的密码过期策略作为防止滥用帐户的唯一防御措施，而实际上安全性必须远远超出这个范围。

至少就目前而言，密码仍然占有一席之地，但迫使我们在几周内推出新版本的版本很快就会成为过去的做法。