微軟正在評估是否要廢除 Windows 更改密碼政策

微軟:「如果使用者設置自己的生日或身分證字號作為密碼資訊,那沒有任何一種密碼政策幫得到這些使用者。」
評論
REUTERS/Shannon Stapleton
REUTERS/Shannon Stapleton
評論

微軟(Microsoft)內部正在評估廢除 Windows 中持續要求用戶定期更改登錄密碼的策略。

微軟的一篇部落格文章中,微軟表示目前規畫最新的安全配置草案將不再強制使用者每隔幾周或幾個月更改一次密碼。微軟表示現有的密碼需要持續更改政策是「非常過時的政策」,並不認為這項政策需要持續推動。

微軟 Aaron Margosis 表示:「定期更換密碼只是針對密碼在有效時間間隔內減少被盜或被駭的機率。如果密碼永遠不會被盜,則不用持續告知用戶更換密碼。若使用者有明確證據自己的密碼被盜,應該要立即採取行動而不是定期的更換密碼來解決問題。」

他同時也提到「如果使用者設定的密碼很有可能被盜,例如:使用自己的生日或身分證字號作為密碼資訊,那沒有任何一種密碼政策幫得到這些使用者。」

換句話說,微軟希望使用者設置強大、複雜而獨特的密碼,而不是定期更改密碼。確實,每隔幾周或幾個月更換一次密碼實在讓人感到無奈;前聯邦貿易委員會技術專家 Lorrie Cranor 在一篇2016年的部落格文章中表示,強迫用戶持續性的更改密碼會導致密碼強度越來越弱。「研究人員表示,若駭客已知道使用者的密碼不太可能因用戶更改密碼而受阻;一旦駭客知道密碼,通常就能輕易猜出用戶的下一個密碼。」

而這篇文章出現不久之後,美國國家標準與技術研究院(NIST;National Institute of Standards and Technology)因應聯邦政府的網路安全實踐和政策而修改了自己的建議,取消了定期更改密碼的政策

核稿編輯:Anny

延伸閱讀:




精選熱門好工作

PopDaily 資料分析師 –【行銷部】

數果網路股份有限公司
臺北市.台灣

獎勵 NT$15,000

iOS工程師

Omlet Arcade 美商歐姆雷特
臺北市.台灣

獎勵 NT$15,000

APP行銷企劃專員

VeryBuy非常勸敗
臺北市.台灣

獎勵 NT$15,000