O Windows 10 oferece suporte a dois tipos de contas. Uma é a conta local clássica que está disponível em todas as versões anteriores do Windows, a outra é a conta moderna da Microsoft que está conectada aos serviços em nuvem da empresa. Antes do Windows 10 versão 1903, a Microsoft tinha políticas de expiração de senha configuráveis para melhor segurança desde as primeiras versões do Windows NT. Isso mudou.
Propaganda
Resumindo, a Microsoft agora tem os seguintes argumentos contra a mudança contínua de senha.
- Se uma senha foi comprometida, ela deve ser alterada imediatamente.
- Se a senha não foi comprometida, não há motivo para alterá-la.
- A mudança periódica de senha pode fazer os usuários esquecerem a nova senha ou fazê-los anotá-la em algum lugar onde a senha possa ser facilmente identificada.
A postagem do blog oficial afirma o seguinte.
como mudar o facebook para o modo escuro
Por que estamos removendo as políticas de expiração de senha?
como denunciar um canal do youtubeEm primeiro lugar, para tentar evitar mal-entendidos inevitáveis, estamos falando aqui apenas sobre a remoção das políticas de expiração de senha - não estamos propondo mudanças nos requisitos de comprimento mínimo, histórico ou complexidade da senha.
A expiração periódica de senha é uma defesa apenas contra a probabilidade de que uma senha (ou hash) seja roubada durante seu intervalo de validade e seja usada por uma entidade não autorizada. Se uma senha nunca é roubada, não há necessidade de expirá-la. E se você tiver evidências de que uma senha foi roubada, você provavelmente agiria imediatamente, em vez de esperar a expiração para corrigir o problema.
Se for garantido que uma senha provavelmente será roubada, quantos dias é um período de tempo aceitável para continuar permitindo que o ladrão use essa senha roubada? O padrão do Windows é 42 dias. Não parece um tempo ridiculamente longo? Bem, é, e ainda assim nossa linha de base atual diz 60 dias - e costumava dizer 90 dias - porque forçar a expiração frequente apresenta seus próprios problemas. E se não for garantido que as senhas serão roubadas, você adquire esses problemas sem nenhum benefício. Além disso, se seus usuários são do tipo que está disposto a responder pesquisas no estacionamento que trocam uma barra de chocolate por suas senhas, nenhuma política de expiração de senha o ajudará.
Nossas linhas de base devem ser utilizadas com o mínimo, se é que alguma modificação, pela maioria das empresas bem gerenciadas e preocupadas com a segurança. Também se destinam a servir de orientação aos auditores. Então, qual deve ser o período de validade recomendado? Se uma organização implementou com êxito listas de senhas banidas, autenticação multifator, detecção de ataques de adivinhação de senha e detecção de tentativas de logon anômalas, ela precisa de expiração periódica de senha? E se eles não implementaram mitigações modernas, quanta proteção eles realmente ganharão com a expiração da senha?
você pode rodar um computador sem ram?Os resultados das varreduras de conformidade de linha de base geralmente são medidos por quantas configurações estão fora de conformidade: “Quanto vermelho temos no gráfico?” Não é incomum que as organizações, durante a auditoria, tratem os números de conformidade como mais importantes do que a segurança do mundo real. Se uma linha de base recomendar 60 dias e uma organização com proteções avançadas optar por 365 dias - ou nenhuma expiração - eles serão prejudicados em uma auditoria desnecessariamente e podem ser compelidos a aderir à recomendação de 60 dias.
A expiração periódica de senha é uma mitigação antiga e obsoleta de valor muito baixo, e não acreditamos que valha a pena que nossa linha de base imponha qualquer valor específico. Ao removê-lo de nossa linha de base, em vez de recomendar um valor específico ou nenhum vencimento, as organizações podem escolher o que melhor atende às suas necessidades percebidas, sem contradizer nossa orientação. Ao mesmo tempo, devemos reiterar que recomendamos fortemente proteções adicionais, embora elas não possam ser expressas em nossas linhas de base.
Portanto, as políticas de expiração de senha foram descontinuadas a partir do Windows 10 versão 1903. Essa alteração não afeta outras políticas de senha, incluindo as políticas de comprimento e complexidade.
Você pode revisar as alterações aqui: Linha de base de segurança (DRAFT) para Windows 10 v1903 e Windows Server v1903
Veja os seguintes artigos:
- Redefina a senha do Windows 10 sem usar ferramentas de terceiros
- Todas as maneiras de alterar a senha do usuário no Windows 10
- Como usar contas sem senha para entrar no Windows 10
- Impedir que o Windows 10 sincronize senhas entre dispositivos
- Impedir que o usuário altere a senha no Windows 10
- Como remover a senha do usuário no Windows 10