今晚开什么生肖和特马2019 > 新聞資訊 > IT新聞 >

笨重超脱猜一生肖:微軟建議組織不要再強迫員工每60天更新密碼

定期密碼過期是一種古老且過時的極低價值緩解,我們認為我們的基線不值得執行任何具體價值
微軟上周建議組織不再強迫員工每60天提出一次新密碼。
 
該公司稱這種做法曾經是企業身份管理的基石 - “古老而過時”,因為它告訴IT管理員,其他方法在保證用戶安全方面更有效。
 
微軟的首席顧問Aaron Margosis在一篇公司博客的帖子中寫道:“定期密碼過期是一種古老且過時的極低價值緩解,我們認為我們的基線不值得執行任何具體價值。” 
 
在最新的Windows 10安全配置基線 - 一個尚未發布的“2019年5月更新”(又名1903)的草案中,微軟放棄了密碼應該經常更改的想法。 Windows安全配置基線是推薦的組策略及其設置的大量集合,并附有報告,腳本和分析器。以前的基線曾建議企業和其他組織每60天更改一次密碼。 (這比早期的90天有所下降。)
 
 
Margosis承認,自動使密碼失效的政策以及其他設定安全標準的集團政策往往被誤導。 “通過Windows安全模板強制執行的一小套古老密碼策略不是也不可能是用戶憑據管理的完整安全策略,”他說。 “然而,更好的做法不能通過組策略中的設定值表示并編碼到模板中。”
 
在其他更好的實踐中,Margosis提到了多因素身份驗證 - 也稱為雙因素身份驗證 - 并禁止弱,易受攻擊,易于猜測或經常泄露的密碼。
 
兩年前,美國商務部的一個分支機構國家標準與技術研究院(NIST)提出了類似的論點,因為它降低了常規密碼更換的等級。 “驗證者不應該要求記憶秘密被任意改變(例如,定期),”NIST在隨附2017年6月版SP 800-63的“常見問題解答”中說,“數字身份指南”,使用“記憶秘密”一詞“密碼”。
 
然后,該研究所解釋了為什么強制密碼更改是一個壞主意:“用戶傾向于選擇較弱的記憶秘密,當他們知道他們將不得不在不久的將來改變它們。當這些變化確實發生時,他們經常選擇一個通過應用一組常見的轉換(例如增加密碼中的數字),類似于舊的記憶秘密的秘密。“
 
當有證據證明密碼被盜或以其他方式受到損害時,NIST和微軟都敦促組織要求密碼重置。如果他們沒有被觸及? “如果密碼永遠不會被竊取,就沒有必要讓它失效,”微軟的Margosis表示。
 
SANS Institute新興安全趨勢主管John Pescatore說:“我同意100%的微軟對企業的邏輯,這些企業無論如何都使用[集體政策]。” “強迫每個員工在任意時間段更改密碼幾乎總是會導致更多的漏洞出現在密碼重置過程中(因為現在頻繁出現用戶忘記密碼的高峰),這會增加風險,而強制密碼重置會減少它。”
 
像微軟和NIST一樣,Pescatore認為定期密碼重置是小腦袋的大地精。 “將[這個]作為基線的一部分,安全團隊可以更容易地聲稱合規,因為審計人員很高興,”Pescatore說。 “專注于密碼重置合規性是15年前濫用薩班斯 - 奧克斯利法案審計所浪費的所有資金的一個重要部分。合規性如何不等同于安全性的好例子。”*
 
在Windows 10 1903草案基線的其他地方,Microsoft還刪除了BitLocker驅動器加密方法及其密碼強度的策略。微軟表示,先前的建議是使用最強大的BitLocker加密技術,但這種做法有點過分了:(“我們的加密專家告訴我們,在可預見的未來,[128位加密]沒有被破壞的危險,”Margosis微軟爭辯說。)它很容易降低設備性能。
 
微軟還要求對另一項提議的更改提出反饋,這些更改將轉儲強制禁用Windows內置的訪客和管理員帳戶。 “從基線中刪除這些設置并不意味著我們建議啟用這些帳戶,也不會刪除這些設置意味著將啟用帳戶,”Margosis說。 “從基線中刪除設置只是意味著管理員現在可以選擇啟用
?