Microsoft「パスワードの定期的変更は、古びた時代遅れの極めて価値の低い対策」 次期大型アップデートでポリシー変更

2chnavi

1: 靄々 ★ 2019/04/26(金) 14:26:33.25 ID:xrCkGepZ9
 Microsoftは4月24日(現地時間)、間もなくリリースされるWindows 10の次期大型アップデート「Windows 10バージョン1903」(19H1)と「Windows Serverバージョン1903」について、セキュリティベースライン設定のドラフト版を公開した。

 今回のドラフトでは、「パスワードの定期的な変更を促していたポリシー」の廃止が盛り込まれたことが注目されている。Microsoftはこれについて、「パスワードセキュリティの現状に問題があることは疑いようがない」と認めている。

Microsoft Security Guidance blog

 ユーザーが自分でパスワードを作成する場合、安易なパスワードを選びがちな傾向があるという。覚えにくいパスワードの作成を強要されたり、割り当てられたりすれば、目に見える場所に書きとめておく。パスワードの定期的な変更を強要されれば、既存のパスワードに予想可能な変更を少しだけ加えて済ませがちで、新しいパスワードを忘れてしまうこともある。パスワードや関連するハッシュが流出すれば、その不正利用の検出や制限は難しい。

 そうした現状を認めた上でMicrosoftでは、「パスワードの定期的な変更を促すといったポリシーは、科学的な調査で疑問が投げ掛けられている。禁止パスワードリストの強制や多要素認証といった代替策が推奨されている」と指摘する。

 パスワードの定期的な変更は、パスワードやハッシュが有効期限中に盗まれて、不正利用される事態のみを想定した対策だった。しかし「パスワードの定期的な失効は、古びた時代遅れの極めて価値の低い対策であり、ベースラインとして徹底させる価値はない」とMicrosoftは断言。管理者に対しては追加的な対策を講じるよう強く勧告している。

https://www.itmedia.co.jp/news/articles/1904/26/news082.html

12: 名無しさん@1周年 2019/04/26(金) 14:34:02.32 ID:iF51rISO0
またこの時期が来たのか
めんどくせー

47: 名無しさん@1周年 2019/04/26(金) 14:47:43.30 ID:SsOaA/xt0
おまいうw

76: 名無しさん@1周年 2019/04/26(金) 15:05:30.05 ID:1fqe6OqJ0
まぁそうだよな
盗まれる想定じゃん
変えてもまた盗まれるんじゃいつか破られるわ

続きを読む

Source: 暇人\^o^/速報
Microsoft「パスワードの定期的変更は、古びた時代遅れの極めて価値の低い対策」 次期大型アップデートでポリシー変更