最新軟體應用文章

Image credit: SOPA Images via Getty Images

微软:密码过期政策其实并没什么用

你同意这种观点吗?

Sanji Feng
2019 年 4 月 25 日, 傍晚 07:00
SOPA Images via Getty Images

早些时候,微软在一篇以 Windows 10 v1903、Windows Server v1903 安全基准草案为主题的博客中提到,大家所熟悉的密码过期政策其实是「一种非常低效的过时保护手段」。在他们看来,如果某个密码从未被盗的话,那其实就不该有所谓的过期一说。而当密码已经有被盗的可能时,用户多半都会第一时间进行修改,并不会等到真正过期的日子才有所移动。(但... 用户其实并不一定知道自己的密码什么时候会被盗啊)

此外微软还认为,强制性的密码更新只会导致用户更多将密码保存下来,然后干脆不会对它加以记忆。同时他们还强调:「如果你的用户是那种会为了一点好处就在调查问卷上写下密码的人,那什么密码过期政策都不会起到作用。」

当然,微软也承认现今的密码保护策略存在问题,不过在其眼中禁用高风险密码和多重认证会是比密码过期更加有效的防御方案。尽管如此,目前他们也只是提议在开头说到的两版系统中将密码过期政策去除,所以至少在短时间内影响应该并不会很大,而且微软也不打算对密码的长度限制、重复性和复杂程度等要求进行调整。

article