Windows 10 unterstützt zwei Arten von Konten. Eines ist das klassische lokale Konto, das in allen früheren Windows-Versionen verfügbar war, das andere ist das moderne Microsoft-Konto, das mit den Cloud-Diensten des Unternehmens verbunden ist. Vor Windows 10, Version 1903, verfügte Microsoft über konfigurierbare Kennwortablaufrichtlinien für eine bessere Sicherheit, die auf die frühesten Versionen von Windows NT zurückgehen. Das hat sich geändert.
Werbung
Kurz gesagt, Microsoft hat jetzt die folgenden Argumente gegen eine kontinuierliche Kennwortänderung.
- Wenn ein Passwort kompromittiert wurde, sollte es sofort geändert werden.
- Wenn ein Passwort nicht kompromittiert wurde, gibt es keinen Grund, es zu ändern.
- Durch regelmäßige Kennwortänderungen können Benutzer ihr neues Kennwort vergessen oder es an einer Stelle aufschreiben, an der das Kennwort leicht erkannt werden kann.
Der offizielle Blog-Beitrag besagt Folgendes.
So deaktivieren Sie die Zwei-Faktor-Authentifizierung
Warum entfernen wir Richtlinien zum Ablaufen von Passwörtern?
Um unvermeidliche Missverständnisse zu vermeiden, geht es hier zunächst nur um das Entfernen von Richtlinien zum Ablauf von Kennwörtern. Wir schlagen keine Änderung der Anforderungen für die Mindestlänge, den Verlauf oder die Komplexität von Kennwörtern vor.
Der regelmäßige Ablauf des Passworts schützt nur vor der Wahrscheinlichkeit, dass ein Passwort (oder ein Hash) während seines Gültigkeitsintervalls gestohlen wird und von einer nicht autorisierten Stelle verwendet wird. Wenn ein Passwort niemals gestohlen wird, muss es nicht ablaufen. Und wenn Sie Beweise dafür haben, dass ein Passwort gestohlen wurde, würden Sie vermutlich sofort handeln, anstatt auf den Ablauf zu warten, um das Problem zu beheben.
Wenn es selbstverständlich ist, dass ein Passwort wahrscheinlich gestohlen wird, wie viele Tage ist eine akzeptable Zeitspanne, um dem Dieb weiterhin die Verwendung dieses gestohlenen Passworts zu ermöglichen? Der Windows-Standardwert beträgt 42 Tage. Scheint das nicht eine lächerlich lange Zeit zu sein? Nun, das ist es, und dennoch sagt unsere aktuelle Basislinie 60 Tage - und früher 90 Tage -, weil das Erzwingen eines häufigen Ablaufs seine eigenen Probleme mit sich bringt. Und wenn es nicht selbstverständlich ist, dass Passwörter gestohlen werden, erwerben Sie diese Probleme ohne Nutzen. Wenn Ihre Benutzer bereit sind, Umfragen auf dem Parkplatz zu beantworten, bei denen ein Schokoriegel gegen ihre Passwörter ausgetauscht wird, hilft Ihnen keine Richtlinie zum Ablauf des Passworts.
So überprüfen Sie, wie viele Songs Sie auf Apple Music habenUnsere Baselines sollen von den meisten gut verwalteten, sicherheitsbewussten Unternehmen mit minimalen oder gar keinen Änderungen verwendet werden können. Sie sollen auch als Leitfaden für Prüfer dienen. Wie sollte die empfohlene Ablaufzeit sein? Wenn eine Organisation erfolgreich gesperrte Kennwortlisten, die Multi-Faktor-Authentifizierung, die Erkennung von Angriffen zum Erraten von Kennwörtern und die Erkennung anomaler Anmeldeversuche erfolgreich implementiert hat, benötigen sie einen regelmäßigen Ablauf des Kennworts? Und wenn sie keine modernen Abhilfemaßnahmen implementiert haben, wie viel Schutz erhalten sie dann wirklich durch das Ablaufen des Passworts?
So überprüfen Sie, ob ein Port geöffnet ist Windows 10Die Ergebnisse von Baseline-Compliance-Scans werden normalerweise daran gemessen, wie viele Einstellungen nicht konform sind: „Wie viel Rot haben wir in der Tabelle?“ Es ist nicht ungewöhnlich, dass Unternehmen während der Prüfung Compliance-Nummern als wichtiger als die Sicherheit in der Praxis behandeln. Wenn eine Baseline 60 Tage empfiehlt und eine Organisation mit erweitertem Schutz 365 Tage - oder überhaupt keinen Ablauf - wählt, werden sie unnötig in ein Audit aufgenommen und müssen möglicherweise die 60-Tage-Empfehlung einhalten.
Das regelmäßige Ablaufen von Passwörtern ist eine alte und veraltete Minderung von sehr geringem Wert, und wir glauben nicht, dass es sich für unsere Baseline lohnt, einen bestimmten Wert durchzusetzen. Indem Unternehmen es aus unserer Grundlinie entfernen, anstatt einen bestimmten Wert oder keinen Ablauf zu empfehlen, können sie auswählen, was ihren wahrgenommenen Bedürfnissen am besten entspricht, ohne unserer Anleitung zu widersprechen. Gleichzeitig müssen wir erneut betonen, dass wir dringend zusätzliche Schutzmaßnahmen empfehlen, auch wenn diese nicht in unseren Baselines ausgedrückt werden können.
Daher sind die Kennwortablaufrichtlinien ab Windows 10, Version 1903, veraltet. Diese Änderung wirkt sich nicht auf andere Kennwortrichtlinien aus, einschließlich der Richtlinien für Länge und Komplexität.
Sie können die Änderungen hier überprüfen: Sicherheitsbasislinie (ENTWURF) für Windows 10 v1903 und Windows Server v1903
Siehe folgende Artikel:
- Setzen Sie das Windows 10-Kennwort zurück, ohne Tools von Drittanbietern zu verwenden
- Alle Möglichkeiten zum Ändern des Benutzerkennworts in Windows 10
- So verwenden Sie kennwortlose Konten für die Anmeldung bei Windows 10
- Verhindern Sie, dass Windows 10 Kennwörter zwischen Geräten synchronisiert
- Verhindern, dass Benutzer das Kennwort in Windows 10 ändern
- So entfernen Sie das Benutzerkennwort in Windows 10