Non classé

La mise à jour de Windows 10 éliminera les stratégies d’expiration des mots de passe.

Le 26 avril 2019 - 3 minutes de lecture

Parallèlement à la version préliminaire des paramètres de base de la configuration pour Windows 10 v1903 et Windows Server v1903, Microsoft a annoncé son intention de supprimer les mots de passe d'expiration de mot de passe commençant par la mise à jour de Windows 10 en mai.

Une fois ces instructions supprimées, les entreprises doivent les remplacer par des pratiques de sécurité des mots de passe modernes et améliorées, telles que l'authentification multifactorielle, la détection des attaques par détection pour deviner les mots de passe, la détection des tentatives de journal irrégulières et l'application des listes de mots de passe interdits.

Microsoft a expliqué plus en détail ces recommandations et a déclaré: "Bien que nous recommandions ces options, elles ne peuvent pas être exprimées ou appliquées avec nos lignes de base de configuration de sécurité recommandées, basées sur les paramètres de stratégie de groupe intégrés de Windows, et ne peuvent pas inclure de valeurs spécifiques au client."

Selon le consultant en chef de la société, Aaron Margosis, le mécanisme d’expiration du mot de passe est une méthode de défense défectueuse, car une fois le mot de passe volé, des mesures correctives doivent être prises immédiatement par rapport à l’expiration du mot de passe.

Mot de passe pour la date d'expiration

Microsoft a également fait remarquer qu'il devrait bientôt être supprimé. La politique d’expiration du mot de passe est simplement une défense contre la probabilité qu’un mot de passe soit volé tout en restant valide et utilisé par une entité non autorisée.

La société permet aux entreprises de choisir les mesures de sécurité qui répondent le mieux à leurs besoins sans s'opposer à leurs propres directives.

Le brouillon nouvellement publié basé sur la sécurité suggère également de supprimer l'application de l'administrateur intégré et les comptes d'invité sont désactivés par défaut. Les administrateurs pourront alors activer les deux comptes à tout moment, bien que la suppression des stratégies ne signifie pas que ces comptes seront activés par défaut.

Il convient de rappeler qu'il ne s'agit que d'une version préliminaire et que les choses peuvent changer avant d'être complétées, bien que la plupart des experts s'accordent à dire que les organisations ont dépassé les règles de sortie des mots de passe pour sécuriser leurs comptes.

via BleepingComputer

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.