Microsoft概述了适用于Windows 10版本1903和WindowsServer版本1903的新安全设置。
“当人类选择自己的密码时,他们往往很容易猜测或预测,”微软的亚伦·马戈西斯写道。“当人类被分配或被迫创建难以记忆的密码时,他们往往会把密码写下来,让别人看到。当人类被迫更改密码时,他们往往会对现有密码做小而可预测的修改,并/或忘记新密码。“
Margossis说,密码到期策略有更好的替代方案,包括禁用密码列表和多因素身份验证,但Microsoft无法使用其建议的安全配置基线来实施这些策略。
其中一个主要问题是,只有当密码被盗时,密码驱逐才能保护用户。如果发生这种情况,大多数人会很快意识到并立即做一些事情,而不是等待长达42天才被要求更改密码。
“…强制频繁过期会带来自身的问题。如果不是因为密码会被盗用,你就会获得这些问题,而不会有任何好处。“马戈西斯补充说。
其他密码策略例如要求最小长度和字母、数字和符号的组合将保持不变。
本周早些时候,数百万人仍然使用123456作为他们的密码。