Windows 10 prend en charge deux types de comptes. L'un est le compte local classique qui était disponible dans toutes les versions précédentes de Windows, l'autre est le compte Microsoft moderne qui est connecté aux services cloud de l'entreprise. Avant la version 1903 de Windows 10, Microsoft disposait de stratégies d'expiration de mot de passe configurables pour une meilleure sécurité remontant aux versions les plus anciennes de Windows NT. Cela a changé.
Publicité
En bref, Microsoft a maintenant les arguments suivants contre le changement continu de mot de passe.
- Si un mot de passe a été compromis, il doit être changé immédiatement.
- Si un mot de passe n'a pas été compromis, il n'y a aucune raison de le changer.
- Le changement périodique de mot de passe peut faire oublier aux utilisateurs leur nouveau mot de passe ou le faire écrire quelque part où le mot de passe peut être facilement repéré.
Le billet de blog officiel indique ce qui suit.
emitir de chrome a fire tv
Pourquoi supprimons-nous les politiques d'expiration des mots de passe?
cómo borrar un chat en discordiaPremièrement, pour essayer d'éviter les malentendus inévitables, nous ne parlons ici que de la suppression des politiques d'expiration des mots de passe - nous ne proposons pas de modifier les exigences en matière de longueur minimale de mot de passe, d'historique ou de complexité.
L'expiration périodique du mot de passe n'est une défense que contre la probabilité qu'un mot de passe (ou hachage) soit volé pendant son intervalle de validité et soit utilisé par une entité non autorisée. Si un mot de passe n’est jamais volé, il n’est pas nécessaire de le faire expirer. Et si vous avez la preuve qu'un mot de passe a été volé, vous agirez probablement immédiatement plutôt que d'attendre l'expiration pour résoudre le problème.
S'il est certain qu'un mot de passe est susceptible d'être volé, combien de jours est une durée acceptable pour continuer à permettre au voleur d'utiliser ce mot de passe volé? La valeur par défaut de Windows est de 42 jours. Cela ne vous semble-t-il pas ridiculement long? Eh bien, c'est le cas, et pourtant, notre base de référence actuelle indique 60 jours - et avait l'habitude de dire 90 jours - parce que forcer une expiration fréquente pose ses propres problèmes. Et s'il n'est pas certain que les mots de passe seront volés, vous obtenez ces problèmes sans aucun avantage. De plus, si vos utilisateurs sont du genre à vouloir répondre à des sondages sur le parking qui échangent une barre chocolatée contre leurs mots de passe, aucune politique d'expiration de mot de passe ne vous aidera.
Nos références sont destinées à être utilisables avec une modification minimale, voire aucune, par la plupart des entreprises bien gérées et soucieuses de la sécurité. Ils sont également destinés à servir de guide aux auditeurs. Alors, quelle devrait être la période d'expiration recommandée? Si une organisation a mis en œuvre avec succès des listes de mots de passe interdits, une authentification multifacteur, la détection d'attaques par estimation de mot de passe et la détection de tentatives de connexion anormales, a-t-elle besoin d'une expiration périodique des mots de passe? Et s'ils n'ont pas mis en œuvre des mesures d'atténuation modernes, quelle protection bénéficieront-ils réellement de l'expiration du mot de passe?
cuando sale el iphone 6Les résultats des analyses de conformité de base sont généralement mesurés par le nombre de paramètres non conformes: 'Combien de rouge avons-nous sur le graphique?' Il n'est pas inhabituel pour les organisations lors d'un audit de considérer les chiffres de conformité comme plus importants que la sécurité réelle. Si une base de référence recommande 60 jours et qu'une organisation avec des protections avancées opte pour 365 jours - ou pas d'expiration du tout - elle sera inutilement entravée dans un audit et pourrait être obligée de respecter la recommandation de 60 jours.
L’expiration périodique des mots de passe est une mesure d’atténuation ancienne et obsolète de très faible valeur, et nous ne pensons pas qu’il soit utile que notre base de référence applique une valeur spécifique. En le supprimant de notre base de référence plutôt que de recommander une valeur particulière ou aucune expiration, les organisations peuvent choisir ce qui convient le mieux à leurs besoins perçus sans contredire nos conseils. Dans le même temps, nous devons réitérer que nous recommandons vivement des protections supplémentaires même si elles ne peuvent pas être exprimées dans nos bases de référence.
Ainsi, les stratégies d'expiration de mot de passe sont obsolètes à partir de Windows 10 version 1903. Cette modification n'affecte pas les autres stratégies de mot de passe, y compris les stratégies de longueur et de complexité.
Vous pouvez consulter les modifications ici: Base de référence de sécurité (DRAFT) pour Windows 10 v1903 et Windows Server v1903
Consultez les articles suivants:
- Réinitialiser le mot de passe Windows 10 sans utiliser d'outils tiers
- Toutes les façons de changer le mot de passe de l'utilisateur dans Windows 10
- Comment utiliser des comptes sans mot de passe pour se connecter à Windows 10
- Empêcher Windows 10 de synchroniser les mots de passe entre les appareils
- Empêcher l'utilisateur de changer de mot de passe dans Windows 10
- Comment supprimer le mot de passe utilisateur dans Windows 10
