Microsoft считает, что принуждать пользователей менять пароли бессмысл
Microsoft считает, что принуждать пользователей менять пароли бессмысленно и отказывается от этой практики
Microsoft заявила, что правило сброса пароля по истечению срока его действия является бессмысленным с точки зрения безопасности. В связи с этим компания планирует отключить эту опцию из базовых параметров безопасности в Windows 10 (1903), Windows Server (1903) и в будущих версиях операционной системы.
«Когда люди выбирают пароль, его зачастую можно легко угадать или предсказать. Когда заставляют создавать сложные пароли или выдают уже сгенерированные варианты, которые трудно запомнить, они записывают их там, где их могут видеть другие. Когда людям приходится менять пароли, они обычно вносят небольшие и предсказуемые изменения в существующие пароли, чтобы их не забыть», – говорится в блоге Microsoft.
В компании признают, что принуждение пользователей регулярно менять пароли ставит под сомнение ценность многих давних методов обеспечения безопасности, поэтому лучше использовать более эффективные способы аутентификации. Как бы там ни было, Microsoft не первая, кто сделал такое заявление. Эксперты по безопасности годами жаловались на то, что принудительная смена пароля не решает проблему безопасности. Два года назад этот вопрос поднимала и Федеральная торговая комиссия (FTC). Но раньше всех был Национальный институт стандартов и технологий США (NIST), который раскритиковал эту практику ещё десять лет назад.
В блоге Microsoft представлен более широкий набор базовых параметров безопасности, которые софтверный гигант будет рекомендовать компаниям и организациям, использующим программное обеспечение Microsoft. Фактически, компания предлагает избегать типичных запрещённых паролей и переходить на многофакторную аутентификацию. Кроме того, по мнению Microsoft, пароль нужно менять не по расписанию, а при подозрении о возможной утечке.