Компания Microsoft признала, что политика истечения срока действия паролей — бессмысленная мера, не только не способствующая повышению безопасности, но и напротив, создающая дополнительные слабые места.
Вчера в блоге Microsoft, посвященном рекомендациям по части безопасности, был опубликован материал о базовых параметрах безопасности в Windows 10 v1903 и Windows Server v1903.
Интересно, что в нем разработчик признал, что практика принуждения пользователей к регулярной смене паролей не повышает безопасность. Этот прием считается не только архаичным, но и бессмысленным.
Фактически, пока пароль не был украден, его нужно делать недействительным. И если есть подозрение, что пароль украден, необходимо действовать немедленно, а не ждать до истечения срока действия пароля. Регулярная принудительная смена пароля приводит к тому, что пользователи чаще записывают пароли или вообще забывают их. Кроме того, стремясь упростить свою задачу, пользователи выбирают короткий новый пароль или незначительно меняют старый.
Более эффективными мерами безопасности названы многофакторная аутентификация и списки запрещенных паролей.