微软表示强制性密码更改是“古老和陈旧”(2019年)

2021-04-20 00:29:06

微软终于捕获了一个Maxim,即安全专家多年来几乎普遍接受:定期密码变化可能比好处更弊。

在上个月晚些时候发布的一个很大程度上忽略的帖子中,微软表示,它正在删除其为客户和审计师推荐的安全基线设置中的定期密码更改。经过几十年的微软推荐密码定期更改,微软员工亚伦击沉表示,要求是“古老和过时的减轻的非常低价”。

心灵的变化很大程度上是研究的结果,显示密码最容易破解的时候,当他们容易获得最终用户时,例如当他们使用来自最喜欢的电影或书籍的名称或短语时。在过去的十年中,黑客已经采用了挖掘的真实世界密码违规,以组装数百万单词的词典。结合超快速的显卡,黑客可以在离线攻击中产生大量的猜测,这在窃取代表明文用户密码的加密扰乱的哈希时出现。即使用户尝试使用易于记住的密码 - 通过向单词添加字母或符号来说,或者通过为L'S-HACKERS替换为0的oy或1,可以使用修改字典条目的编程规则。因此,这些措施不适用于现代裂缝技术。研究人员越来越多地达成共识,即最好的密码至少11个字符长,随机生成,并由大写和小写字母,符号(例如%,*,或>)和数字组成。这些特征使他们特别努力地记住。同样的研究人员警告说,授权密码每30,60或90天变化 - 或者任何其他时期 - 可能对许多原因有害。首席,要求鼓励最终用户选择较弱的密码,而不是它们。已成为“P @ $$ W0RD1”的密码变为“P @ $$ W0RD2”等。与此同时,强制性变化提供了很少的安全福利,因为密码应该在真实泄露的情况下立即更改,而不是在策略规定的一定时间之后。

尽管研究人员之间的共识日益越来越多,但微软和大多数其他大型组织都不愿意与定期的密码更改说出来。其中一个值得注意的例外情况是2016年,当时洛里克兰委员会的联邦贸易委员会首席技术专家们呼吁她自己的雇主提供的建议。现在,近三年后,Cranor有公司。毫无疑问,密码安全的状态是有问题的,已经很长时间了。当人类选择自己的密码时,它们往往很容易猜测或预测。当人类被分配或被迫创建难以记住的密码时,他们通常会将其写下来,别人可以看到它们。当人类被迫改变密码时,他们通常会对他们的现有密码进行小而可预测的更改和/或忘记他们的新密码。当密码或其相应的哈希被盗时,最好是最难以检测或限制未经授权的使用。

最近的科学研究呼吁质疑许多长期密码安全实践的价值,如密码到期策略,而是选择更好的替代方案,例如强制禁止密码列表(一个很好的示例是Azure广告密码保护)和多个因子认证。虽然我们推荐这些替代方案,但他们无法使用我们推荐的安全配置基准表达或执行,而我们建议的安全配置基线构建在Windows内置组策略设置上,并且不能包含客户特定的值。

定期密码到期是仅针对密码(或哈希)在其有效性间隔期间被盗的概率的辩护,并且将由未经授权的实体使用。如果密码永远不会被盗,则无需过期。如果您有证据表明密码被盗,您可能会立即行动而不是等待到期以解决问题。

如果它是一个给定密码可能被盗的一个,那么需要多少天是可接受的时间来允许小偷使用该被盗密码? Windows默认为42天。这似乎并非很长一段时间?好吧,它是,但我们目前的基线表示60天 - 并且曾经说过90天 - 因为迫使频繁的到期介绍了自己的问题。如果不是给予密码将被盗的,则无法获得这些问题。此外,如果您的用户是那种愿意在停车场回答调查的那种对其密码交换糖果栏的停车场,则没有密码到期策略将为您提供帮助。

裂缝率清楚地清楚地说,无需影响建议的最小密码长度,历史记录或复杂性。而且,正如他还指出的那样,微软继续敦促人们使用多因素身份验证。

Microsoft的安全基准设置的更改不会更改Windows Server版本中包含的默认值,该码头表示继续为42天,甚至甚至旧基线设置中建议的60天。尽管如此,基线变化可能会在倡导他们自己的组织内部的变化时给员工弹药。 Jeremi Gosney是一个密码安全专家和Terahash的创始人兼首席执行官表示,它也可能帮助公司推迟审计员,他们经常发现公司易于遵守,除非他们在一定的时间内颁布了密码更改。

“微软正式跳进对抗强制性密码的变化,”Gosney表示,“将使公司更杠杆遵守大遵守。”

此帖子的子标线已更改。以前是阅读:"支付一个主要趋势,公司不再建议组织强制执行定期变化。"