微軟：密碼過期政策其實並沒什麼用

早些時候，微軟在一篇以 Windows 10 v1903、Windows Server v1903 安全基準草案為主題的部落格中提到，大家所熟悉的密碼過期政策其實是「一種非常低效的過時保護手段」。在他們看來，如果某個密碼從未被盜的話，那其實就不該有所謂的過期一說。而當密碼已經有被盜的可能時，用戶多半都會第一時間進行修改，並不會等到真正過期的日子才有所行動。（但... 用戶其實並不一定知道自己的密碼什麼時候會被盜啊）

此外微軟還認為，強制性的密碼更新只會導致用戶更多將密碼保存下來，然後乾脆不會對它加以記憶。同時他們還強調：「如果你的用戶是那種會為了一點好處就在調查問卷上寫下密碼的人，那什麼密碼過期政策都不會起到作用。」

當然，微軟也承認現今的密碼保護策略存在問題，不過在其眼中禁用高風險密碼和多重認證會是比密碼過期更加有效的防禦方案。盡管如此，目前他們也只是提議在開頭說到的兩版系統中將密碼過期政策去除，所以至少在短時間內影響應該並不會很大，而且微軟也不打算對密碼的長度限制、重複性和複雜程度等要求進行調整。

來源: Microsoft Security Guidance Blog

經由: Engadget