微软称强制更换密码是 “古老而过时的”

微软终于抓住了安全专家们多年来几乎普遍接受的一句格言：定期更改密码可能弊大于利。

在上个月末发表的一篇基本被忽略的帖子中，微软表示，它正在从其推荐给客户和审计人员的安全基线设置中删除定期更改密码。在微软建议定期更换密码数十年后，微软员工Aaron Margosis表示，这一要求是一种 “古老而过时的缓解措施，价值很低”。

心态的改变主要是研究的结果，研究表明，当密码对终端用户来说很容易记住时，例如当他们使用最喜欢的电影或书籍中的名字或短语时，密码最容易被破解。在过去的十年里，黑客们挖掘了现实世界中的密码漏洞，组装了数百万字的字典。结合超快的显卡，黑客可以在离线攻击中进行大量的猜测，当他们窃取代表明文用户密码的加密加扰哈希时，就会发生这种攻击。

即使用户试图混淆他们易于记忆的密码–比如在单词中添加字母或符号，或者用0代替o或1代替l–黑客也可以使用编程规则来修改字典条目。因此，这些措施对现代破解技术的保护作用不大。

研究人员越来越多地达成共识，即最好的密码至少有11个字符长，随机生成，并由大小写字母、符号（如%、*或>）和数字组成。这些特征使它们对大多数人来说特别难以记住。同样的研究人员也警告说，强制要求每30天、60天或90天–或任何其他时间段–更改密码，会因为一系列原因而造成危害。其中最主要的原因是，这些要求鼓励终端用户选择比他们更弱的密码。原本是 “P@$$w0rd1 “的密码变成了 “P@$$w0rd2“，以此类推。同时，强制更改密码在安全方面的好处不大，因为一旦发生真正的违规事件，应立即更改密码，而不是在政策规定的一定时间后更改密码。

尽管研究人员之间的共识越来越多，但微软和其他大多数大型组织一直不愿意公开反对定期更改密码。其中一个明显的例外是在 2016 年，当时联邦贸易委员会的首席技术专家 Lorrie Cranor[呼吁自己的雇主给出的建议]（arstechnica.com/information…

在上个月的博客文章中，微软的马戈西斯写道。

毫无疑问，密码安全的状态是有问题的，而且已经有很长一段时间了。当人类自己挑选密码时，往往容易被猜中或预测。当人类被分配或被迫创建难以记忆的密码时，他们往往会把密码写在别人能看到的地方。当人类被迫更改密码时，他们往往会对现有的密码做一些小的、可预测的修改，和/或忘记新密码。当密码或其相应的哈希值被窃取时，最多只能检测或限制其未经授权的使用。

最近的科学研究对许多长期存在的密码安全实践（如密码过期政策）的价值提出了质疑，并指出了更好的替代方案，如强制执行禁止密码列表（一个很好的例子是 Azure AD 密码保护）和多因素验证。虽然我们推荐这些替代方案，但不能用我们推荐的安全配置基线来表达或执行，因为这些基线建立在 Windows 的内置组策略设置上，不能包含客户特定的值。

他补充道。

周期性密码过期只是为了防止密码（或散列）在其有效期内被窃取并被未经授权的实体使用的可能性。如果一个密码永远不会被盗，就没有必要让它过期。而如果你有证据表明密码被盗，你大概会立即采取行动，而不是等待过期来解决问题.如果给定密码很可能被盗，那么继续允许小偷使用该被盗密码的时间长度是多少天？Windows的默认值是42天。这看起来是不是太长了？嗯，确实如此，但我们目前的基准是60天–以前是90天–因为强制频繁过期会带来自己的问题。如果不考虑到密码会被盗用，那么你就会获得这些问题，而没有任何好处。此外，如果你的用户是那种愿意在停车场回答调查问卷，用糖果棒换取密码的人，那么没有密码过期政策会对你有所帮助。

Margosis很清楚，这些变化丝毫不影响推荐的最小密码长度、历史或复杂度。而且，他还指出，微软继续敦促人们使用多因素认证。

他对微软安全基线设置的变化不会改变Windows服务器版本中包含的默认值，Margosis说继续是42天，甚至少于旧基线设置中建议的60天。不过，基线的变化还是有可能给员工在自己的组织内部倡导变革时提供弹药。密码安全专家、Terahash的创始人兼CEO Jeremi Gosney表示，这也很可能帮助公司反击审计人员，因为审计人员经常会发现公司不符合规定，除非他们在规定的时间内颁布了密码变更。

“微软正式加入到反对强制修改密码的斗争中来，”Gosney说，”这将给企业提供更多的筹码来对抗Big Compliance。”

本篇文章的副标题已被更改。之前的内容是 “逆势而行公司不再建议企业强制定期更改密码” “