微软决定到期密码对Windows 10不再有用

Microsoft显然相信，密码过期-换句话说，每个用户被迫更改其登录密码的系统，比如说，六个月-这不是一个有用的安全措施。

在新的安全指南草案中，Microsoft已更改了下一版本的Windows10的基线规则（临近2019年更新以及WindowsServer），以删除对“密码-需要定期密码更改的到期策略”的建议。

微软认为，当人们被迫创建难以记忆的密码时，他们会经常把他们写下来，让他们更容易回忆起来，其中有明显的重大安全风险。而且，当人们被迫改变密码时，“他们经常会对他们的现有密码做一个小的和可预测的更改，和/或忘记他们的新密码”。

Microsoft的PostonTechNet进一步解释：“最近的科学研究要求质疑许多长期密码安全实践（如密码到期策略）的价值，而不是更好的替代方案，例如强制禁用密码列表（一个很好的例子是AzureAD密码保护）和多因素身份验证。”

然后，如果是一个“给定的”，密码很可能从用户窃取，那么允许窃贼继续使用和潜在滥用该登录的时间是多久？

Windows“默认”目前是42天，帖子说明：“这看起来并不像一个可笑的长时期？”嗯，是的，但是我们目前的基线说60天，并且过去90天，因为强制频繁到期会带来自己的问题。如果不是这样的情况，密码就会被偷，你就会得到那些没有好处的问题。

“此外，如果您的用户是愿意在停车场中回答调查的类型，则为他们的密码交换一个糖果条，则没有密码过期策略将帮助您。”

当然，这当然是一个公平的观点，微软的结论是，在设定的时间内，密码过期是一个“很低价值的古老和过时的缓解措施”，而该公司并不认为Windows基线安全指南值得对这一点执行任何具体的价值。

换句话说，公司可以随心所欲地做最好的事情，微软没有在这方面提出任何建议。

请注意，这只是目前的一份文件草案，这意味着这些只是拟议的修改，但微软似乎在这一举动背后提出了一个沉重的论点。

当然，这个(潜在的)安全姿态的切换是企业的指导，因此显然并不影响在家里运行Windows10的人。但是，许多用户在工作时使用了某种或另一种密码保护系统或服务，而这些系统通常具有周期性强制密码重置策略。

因此，这份文件草案可能会导致对上述政策的反思，因为微软的论点是非常有力的，或许必须定期在工作基础上改变密码的痛苦可能很快成为过去的一件事，取而代之的是更好的和更容易的现代安全措施，比如多因素认证。