Windows 10 hỗ trợ hai loại tài khoản. Một là tài khoản cục bộ cổ điển đã có trong tất cả các phiên bản Windows trước, tài khoản còn lại là Tài khoản Microsoft hiện đại được kết nối với các dịch vụ đám mây của công ty. Trước Windows 10 phiên bản 1903, Microsoft đã có các chính sách hết hạn mật khẩu có thể định cấu hình để bảo mật tốt hơn kể từ các phiên bản Windows NT đầu tiên. Điều này đã thay đổi.
Quảng cáo
Tóm lại, Microsoft hiện có các lập luận sau đây để chống lại việc thay đổi mật khẩu liên tục.
- Nếu một mật khẩu đã bị xâm phạm, nó phải được thay đổi ngay lập tức.
- Nếu mật khẩu không bị xâm phạm, không có lý do gì để thay đổi nó.
- Việc thay đổi mật khẩu định kỳ có thể khiến người dùng quên mật khẩu mới hoặc khiến họ ghi mật khẩu vào nơi nào đó có thể dễ dàng phát hiện ra mật khẩu.
Bài đăng trên blog chính thức tuyên bố như sau.
tài liệu google tạo thành một trang ngang
Tại sao chúng tôi xóa chính sách hết hạn mật khẩu?
làm thế nào để bạn sao chép và dán trên chromebookTrước tiên, để cố gắng tránh những hiểu lầm không thể tránh khỏi, chúng tôi chỉ nói ở đây về việc xóa các chính sách hết hạn mật khẩu - chúng tôi không đề xuất các yêu cầu thay đổi đối với độ dài, lịch sử hoặc độ phức tạp của mật khẩu tối thiểu.
Hết hạn mật khẩu định kỳ chỉ là biện pháp bảo vệ chống lại xác suất một mật khẩu (hoặc mã băm) sẽ bị đánh cắp trong khoảng thời gian hiệu lực của nó và sẽ được sử dụng bởi một thực thể trái phép. Nếu mật khẩu không bao giờ bị đánh cắp, thì không cần phải hết hạn. Và nếu bạn có bằng chứng cho thấy mật khẩu đã bị đánh cắp, có lẽ bạn sẽ hành động ngay lập tức thay vì đợi hết hạn để khắc phục sự cố.
Nếu cho rằng một mật khẩu có khả năng bị đánh cắp, thì khoảng thời gian chấp nhận được là bao nhiêu ngày để tiếp tục cho phép kẻ trộm sử dụng mật khẩu bị đánh cắp đó? Mặc định của Windows là 42 ngày. Đó không phải là một khoảng thời gian dài đến nực cười phải không? Vâng, đúng là như vậy, tuy nhiên đường cơ sở hiện tại của chúng tôi nói là 60 ngày - và được sử dụng để nói 90 ngày - bởi vì việc buộc hết hạn thường xuyên dẫn đến các vấn đề riêng của nó. Và nếu không có điều kiện chắc chắn rằng mật khẩu sẽ bị đánh cắp, bạn sẽ gặp phải những vấn đề đó mà không mang lại lợi ích gì. Hơn nữa, nếu người dùng của bạn là loại người sẵn sàng trả lời các cuộc khảo sát trong bãi đậu xe để đổi một thanh kẹo lấy mật khẩu của họ, thì chính sách hết hạn mật khẩu sẽ không giúp bạn.
Các đường cơ sở của chúng tôi nhằm mục đích có thể sử dụng được với mức tối thiểu nếu có bất kỳ sửa đổi nào bởi hầu hết các doanh nghiệp được quản lý tốt, có ý thức bảo mật. Chúng cũng nhằm mục đích phục vụ như hướng dẫn cho các đánh giá viên. Vì vậy, thời gian hết hạn khuyến nghị nên là bao nhiêu? Nếu một tổ chức đã triển khai thành công danh sách mật khẩu bị cấm, xác thực đa yếu tố, phát hiện các cuộc tấn công đoán mật khẩu và phát hiện các nỗ lực đăng nhập bất thường, thì họ có cần hết hạn mật khẩu định kỳ không? Và nếu họ chưa thực hiện các biện pháp giảm thiểu hiện đại, thì họ sẽ thực sự nhận được bao nhiêu sự bảo vệ khi hết hạn mật khẩu?
làm thế nào tôi có thể đưa nhạc vào ipod của mình mà không có itunesKết quả của việc quét tuân thủ cơ bản thường được đo bằng số lượng cài đặt không tuân thủ: 'Chúng ta có bao nhiêu màu đỏ trên biểu đồ?' Không có gì lạ khi các tổ chức trong quá trình kiểm toán coi số tuân thủ quan trọng hơn bảo mật trong thế giới thực. Nếu đường cơ sở đề xuất 60 ngày và một tổ chức có các biện pháp bảo vệ nâng cao chọn trong 365 ngày - hoặc hoàn toàn không hết hạn - thì họ sẽ bị bắt đầu đánh giá một cách không cần thiết và có thể buộc phải tuân theo khuyến nghị 60 ngày.
Hết hạn mật khẩu định kỳ là một biện pháp giảm thiểu cổ xưa và lỗi thời có giá trị rất thấp và chúng tôi không tin rằng việc thực thi bất kỳ giá trị cụ thể nào là đáng giá cho đường cơ sở của chúng tôi. Bằng cách loại bỏ nó khỏi đường cơ sở của chúng tôi thay vì đề xuất một giá trị cụ thể hoặc không hết hạn, các tổ chức có thể chọn bất kỳ điều gì phù hợp nhất với nhu cầu nhận thức của họ mà không mâu thuẫn với hướng dẫn của chúng tôi. Đồng thời, chúng tôi phải nhắc lại rằng chúng tôi thực sự khuyến nghị các biện pháp bảo vệ bổ sung mặc dù chúng không thể được thể hiện trong đường cơ sở của chúng tôi.
Vì vậy, các chính sách hết hạn mật khẩu không được dùng nữa bắt đầu từ Windows 10 phiên bản 1903. Thay đổi này không ảnh hưởng đến các chính sách mật khẩu khác, bao gồm các chính sách về độ dài và độ phức tạp.
Bạn có thể xem lại các thay đổi tại đây: Đường cơ sở bảo mật (DRAFT) cho Windows 10 v1903 và Windows Server v1903
Xem các bài viết sau:
- Đặt lại mật khẩu Windows 10 mà không cần sử dụng các công cụ của bên thứ ba
- Tất cả các cách để thay đổi mật khẩu người dùng trong Windows 10
- Cách sử dụng tài khoản không cần mật khẩu để đăng nhập vào Windows 10
- Ngăn Windows 10 đồng bộ mật khẩu giữa các thiết bị
- Ngăn người dùng thay đổi mật khẩu trong Windows 10
- Cách xóa mật khẩu người dùng trong Windows 10
