早些时候我们提到微软正在准备新的安全配置等级,旨在为用户提供简化的安全设置无需每次单独设置选项,微软官方博客最新发布的博文针对这些安全配置进行解释,其中少部分过时的策略已经被微软抛弃不再使用,尤其是要求用户定期更换密码的策略已经被从策略中剔除,微软认为这个策略已经古老过时并且缓解价值低。
定期更换密码实际意义太低:
微软称定期更换密码只能在一段时间内缓解登录凭证被盗,并不能彻底解决用户账户存在的未经授权访问等,如果密码永远不会被盗那么就没有必要设置密码过期时间,也没有必要再提醒用户必须强制更换新账户密码,同时如果用户发现自己的密码被盗肯定会立即进行更改,也不会等到系统设置的自动到期时间再去更改密码。
废除定期更换密码的逻辑是什么:
简单来说微软假设密码被盗后用户会立即进行更改,但如果没被盗的话还去修改密码其实本身就没太大意义,定期更改密码只能说是用户密码被盗后用户不知道的情况下能提供防御,这种情况下账户可能已经被登陆过,就现实情况来看win10之家认为定期更换密码还是有必要的,毕竟我们不知道哪个网站什么时候会泄露我们密码,当然win10之家也建议大家使用密码生成器为每个网站生成高强度随机密码,这样可以防止泄露后出现撞库攻击。
微软也不会降低对密码强度的要求:
尽管微软不准备强制要求用户定期更换密码,但是微软并不会降低对密码强度的要求例如大小写字母组合等,复杂的高强度密码有助于应对暴力破解提高安全性,当前在RDP远程桌面缓解中暴力破解导致的问题非常多,所以微软认为设置复杂的高强度密码是有必要的,同时微软还会检查用户的历史密码避免密码存在重复问题。
微软建议采用多因素认证:
目前在微软的产品里多数已经启用多因素认证即两步验证,这意味着用户即便泄露密码也不会出现安全问题,多因素认证相当于给用户账户额外加锁提高安全性,因为微软也强烈建议用户能使用两步验证的一定要开启,当然微软也强调上述所有措施只是该公司给用户的建议,具体怎么使用用户还是可以按照自己需要进行配置。
相关文章
网友评论(共有 0 条评论)