Non classé

Nous espérons toutefois que cela pourra vous aider à planifier votre voyage. Nous avons donc expiré la politique d'expiration • Inscrivez-vous

Le 25 avril 2019 - 4 minutes de lecture

Microsoft a finalement décidé de se débarrasser des stratégies d’expiration des mots de passe dans Windows, car obliger les utilisateurs à réinitialiser leurs mots de passe entraîne une sécurité périodique.

Word a été transmis par Redmond via les paramètres de base de configuration de la sécurité de mercredi pour Windows 10 version 1903. Cette version, téléchargeable sous forme de fichier de feuilles de calcul, de fichiers de configuration et d’autres documents, inclut un certain nombre de modifications des paramètres de sécurité de base des versions précédentes de Windows 10 et Windows Server 2019.

Les modifications brouillons incluent des ajustements tels que l'ajout d'un paramètre de confidentialité de l'application empêchant les utilisateurs d'interagir avec les applications utilisant la parole lorsque le système est verrouillé. Microsoft publie également une méthode de chiffrement de lecteur BitLocker et des paramètres de force de chiffrement spécifiques, qui nécessitaient un chiffrement 256 bits et atteindront la norme 128 bits, car "nos ingénieurs en cryptographie nous disent qu'il n'y a aucun risque connu d'être détruits dans un avenir proche".

Enfin, un peu de sens du mot de passe

Mais la modification la plus bienvenue de Windows risque de laisser une réinitialisation périodique du mot de passe, une exigence qui agace à peu près tout le monde. Pour expliquer son changement, Microsoft cite des recherches récentes qui doutent de l’effet des stratégies d’expiration des mots de passe.

Les entreprises cloud-and-bit peuvent faire référence à une étude réalisée en 2010 par des chercheurs de Chapel Hill, en Caroline du Nord, qui a montré que les règles d’expiration des mots de passe réduisaient la sécurité car les nouveaux mots de passe sont basés sur les anciens.

L'étude a également montré que les mots de passe choisis par l'homme sont généralement trop faibles pour survivre à des attaques brutales. Cependant, l’absence générale de mots de passe pose un problème particulier, qui a récemment été résolu par des clés d’authentification matérielles.

Kings College London

Un mémo interne du King's College London à un compte "compromis" qui réinitialise les mots de passe

LIRE PLUS

Dans tous les cas, Microsoft a finalement reconnu que les stratégies d’expiration des mots de passe faisaient plus de mal que de bien.

"Lorsque des personnes sont obligées de modifier leurs mots de passe, elles apportent souvent une modification minime et prévisible à leurs mots de passe existants et / ou oublient les nouveaux mots de passe", explique Aaron Margosis, consultant en chef du groupe de sécurité Microsoft, dans un article du blog Guide de sécurité de Microsoft. .

Cela ne veut pas dire que Microsoft empêchera les entreprises d'implémenter un mot de passe d'expiration. Les clients Windows peuvent toujours le faire, sans signification et ennuyeux, même si cela est possible. Toutefois, en supprimant l'expiration du mot de passe de la référence Windows, l'audit de compatibilité ne marque plus les écarts par rapport à la référence attendue.

"L'expiration périodique des mots de passe est une limitation ancienne et obsolète de très faible valeur, et nous ne pensons pas que cela vaut la peine que notre base de référence impose une valeur particulière", a déclaré Margosis.

"En les supprimant de notre base de référence plutôt que de recommander une valeur particulière ou l'absence d'expiration, les organisations peuvent choisir celle qui correspond le mieux à leurs besoins, sans résister à nos conseils."

Ne dites pas au gouvernement américain qui recommande "de changer les mots de passe tous les mois". ®

parrainé par:
L'impact économique global de CB Predictive Security Cloud

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.