微软联合创始人比尔·盖茨(Bill Gates)一直在预测密码的使用将近20年。他们今天仍然在我们身边，但是现在公司已经决定是时候摆脱一种愚蠢的规则了，它首先使密码成为一个问题：强制性的定期密码更改。

该公司计划在Windows 10 1903或2019年5月更新以及Windows Server 1903的安全配置基准设置中删除过期的密码策略。

微软首席顾问Aaron Margosis 解释说： “定期密码过期是一种非常低的价值，它是一种古老而过时的缓解措施，我们认为对于基线而言，强制实施任何特定的值是不值得的。”

现在，组织将能够选择自己的密码到期日期，或者选择完全不设密码。

正如Margosis解释的那样，定期强制用户选择新密码仅是针对未经授权的人窃取和使用的有效密码或密码哈希的防御。虽然该策略没有提供太多保护，但确实会造成麻烦，使密码成为一个更大的问题。

“当人们被迫更改密码时，他们经常会对其现有密码进行微小且可预测的更改，并且/或者忘记了新密码。当密码或相应的哈希值被盗时，充其量很难做到。检测或限制其未经授权的使用。”

微软的提议是在两年前美国国家标准技术研究院(NIST)对其密码规则指南进行全面修订之后提出的，该指南删除了定期的密码更改和密码复杂性要求。

该更新还建议组织检查新密码是否不是数据泄露中常见的糟糕密码，例如“ 123456”或“ qwerty”，这是英国国家网络安全中心对密码泄露进行分析时经常发现的新密码，以创建其 列表十万个密码中的十个。

Microsoft并未更改其对最小密码长度，历史记录或复杂性的要求。它还建议使用诸如Azure Active Directory密码保护工具之类的工具，管理员可以使用该工具禁止常见的密码(例如“ password”)和其变体形式(例如“ p @ $$ word”)。

Margosis详细介绍了现有基准中的一些矛盾，这些矛盾使密码到期策略完全无效。目前，Windows建议使用42天，而现有基准是60天，过去是90天。

“如果假设密码很可能会被盗，那么允许小偷继续使用该被盗密码的可接受时间是多少天?Windows默认值为42天。这看起来似乎很可笑很久?” 问玛格西斯。

更新的基准可能会对使用Microsoft安全基准的人员进行审核的组织产生积极影响。

例如，一个组织可能已经实施了禁止的密码列表，两因素身份验证和密码攻击检测，但是如果发现它们不符合Microsoft的60天建议，则可能会在审核中受到处罚。

Margosis解释说：“对于组织而言，在审核期间将合规性数字比实际的安全性更为重要是很正常的。”

“如果基准建议使用60天的基准，而拥有高级保护的组织则选择365天(或根本没有到期)，那么他们将不必要地参加审计，并可能被迫遵守60天的建议。”