Microsoftは4月24日、「Windows 10バージョン1903」(19H1)と「Windows Serverバージョン1903」について、セキュリティベースライン設定のドラフト版を公開した。 その中で、「パスワードの定期的な変更を促していたポリシー」の廃止が盛り込まれたことが注目されている。
Microsoftはこれについて、「パスワードセキュリティの現状に問題があることは疑いようがない」と認めている。
中略
そうした現状を認めた上でMicrosoftでは、「パスワードの定期的な変更を促すといったポリシーは、科学的な調査で疑問が投げ掛けられている。禁止パスワードリストの強制や多要素認証といった代替策が推奨されている」と指摘する。
パスワードの定期的な変更は、パスワードやハッシュが有効期限中に盗まれて、不正利用される事態のみを想定した対策だった。しかし「パスワードの定期的な失効は、古びた時代遅れの極めて価値の低い対策であり、ベースラインとして徹底させる価値はない」とMicrosoftは断言。管理者に対しては追加的な対策を講じるよう強く勧告している。
https://www.itmedia.co.jp/news/articles/1904/26/news082.html
続きを読む
