Microsoft перестанет заставлять пользователей менять пароли

В компании признали эту меру бесполезной.

Фото: sistemas.com

В Microsoft собираются убрать контроль за сроком действия пароля из своего базового уровня безопасности в Windows 10 v1903 и Windows Server v1903, а также, как следствие, в последующих версиях операционной системы. Об этом сообщается в официальном блоге Microsoft

Таким образом, компания Microsoft признала, что политика контроля за истечением срока действия паролей, и принуждение пользователей к смене пароля с определенной частотой - бессмысленная с точки зрения безопасности мера.

- Недавние научные исследования ставят под сомнение ценность многих давних методов обеспечения безопасности паролей, таких как политики истечения срока действия паролей, и вместо этого указывают на более эффективные альтернативы, - признали в компании.

В частности, эксперты рекомендуют принудительное использование списков запрещенных паролей (к примеру - защита паролем Azure AD) и многофакторную аутентификацию.

- Периодическое истечение срока действия пароля является защитой только от вероятности того, что пароль будет украден в течение его срока действия и будет использоваться неавторизованным лицом. Если пароль никогда не был украден, его не нужно менять, - полагают в Microsoft.

Кроме того, необходимость постоянно придумывать и чередовать сложные пароли имеет побочный эффект, который в некоторых случаях сводит нет все усилия по усложнению защиты от несанкционированного доступа. Как выяснили эксперты, "когда людям назначают или заставляют создавать пароли, которые трудно запомнить, слишком часто они записывают их там, где их могут видеть другие". 

В компании Microsoft отмечают, что стандартный срок действия пароля составляет 42 дня, что дает взломщику слишком много времени для использования чужой учетной записи. Поэтому, пароль нужно менять не по расписанию, а при первом подозрении о возможной утечке.

ЧИТАЙТЕ ТАКЖЕ

Microsoft разрешил доставать флешки, не нажимая "Безопасное извлечение устройства"