Компанія Microsoft визнала, що політика закінчення терміну дії паролів — безглуздий захід, який не тільки не сприяє підвищенню безпеки, але й навпаки, створює додаткові слабкі місця.
Вчора у блозі Microsoft, присвяченому рекомендаціям по частині безпеки, був опублікований матеріал про базові параметри безпеки в Windows 10 v1903 і Windows Server v1903.
Цікаво, що в ньому розробник визнав, що практика примусу користувачів до регулярної зміни паролів не підвищує безпеку. Цей прийом вважається не тільки архаїчним, але і безглуздим.
Фактично, поки пароль не був вкрадений, його не потрібно робити недійсним. І якщо є підозра, що пароль вкрадений, необхідно діяти негайно, а не чекати до закінчення терміну дії пароля. Регулярна примусова зміна пароля призводить до того, що користувачі частіше записують паролі або взагалі забувають їх. Крім того, прагнучи спростити своє завдання, користувачі вибирають короткий новий пароль або незначно змінюють старий.
Більш ефективними заходами безпеки названі багатофакторна аутентифікація і списки заборонених паролів.