Najwyraźniej Microsoft uważa obecnie, że wygaśnięcie hasła, czyli system, w którym użytkownik jest zmuszony zmieniać hasło logowania co mniej więcej sześć miesięcy, nie jest użytecznym środkiem bezpieczeństwa. W nowej wersji przewodnika bezpieczeństwa firma Microsoft zmieniła podstawowe zasady dotyczące następnej wersji systemu Windows 10 (zbliżająca się aktualizacja z maja 2019 r., a także systemu Windows Server), aby usunąć zalecenia dotyczące „polityki bezpieczeństwa”. wygaśnięcia haseł wymagających okresowych zmian haseł.” Microsoft twierdzi, że użytkownicy zmuszeni do tworzenia trudnych do zapamiętania haseł często je zapisują, aby ułatwić ich zapamiętanie, co stwarza oczywiste ryzyko bezpieczeństwa. A kiedy ludzie są zmuszeni do zmiany haseł, „zbyt często dokonują niewielkiej, przewidywalnej zmiany w swoich istniejących hasłach i/lub zapomną nowego hasła”. W komunikacie firmy Microsoft w witrynie TechNet wyjaśniono: „Ostatnie badania naukowe kwestionują wartość wielu długotrwałych praktyk w zakresie bezpieczeństwa haseł, takich jak zasady wygasania haseł, i zamiast tego wskazują na „lepsze rozwiązania, takie jak egzekwowanie list kontrolnych”. „zabroniona ochrona haseł (hasło usługi Azure AD ochrona jest doskonałym przykładem) i uwierzytelnianie wieloskładnikowe. Dodatkowo wyjaśnił, że jeśli „dano” użytkownikowi możliwość kradzieży hasła, jak długo dopuszczalne jest umożliwienie złodziejowi dalszego używania i potencjalnego nadużywania tego identyfikatora? Połączenie? Domyślny czas systemu Windows wynosi obecnie 42 dni. w poście zauważono: „Czy to nie wydaje się absurdalnie długie? Cóż, tak, a jednak nasza obecna wartość bazowa mówi 60 i 90 dni, ponieważ wymuszanie częstych wygaśnięć stwarza własne problemy. A jeśli nie masz pewności, że hasła zostaną skradzione, problemy te nie będą dla Ciebie przydatne. „Ponadto, jeśli Twoi użytkownicy chcą odpowiadać na ankiety dotyczące parkowania, w ramach których wymieniają tabliczkę czekolady na swoje hasła, hasło nie istnieje. Ta polityka wygaśnięcia Ci pomoże.” Jest to oczywiście dobry punkt. stwierdza, że wygaśnięcie hasła w określonych przedziałach czasowych to „stare, przestarzałe rozwiązanie łagodzące o bardzo małej wartości” i firma w to nie wierzy. Warto, jeśli podstawowe wytyczne dotyczące bezpieczeństwa systemu Windows wymuszają określoną wartość. Innymi słowy, firmy mogą robić to, co jest dla nich najlepsze, Microsoft nie wydaje żadnych zaleceń w tym zakresie w przyszłości. Na razie to tylko wersja robocza dokumentu, co oznacza, że są to jedynie propozycje zmian, ale wydaje się, że Microsoft przywołał mocne argumenty za tym posunięciem. Ta (potencjalna) zmiana zabezpieczeń oczywiście nie ma wpływu na domowych użytkowników systemu Windows 10. Jednak wielu z nas korzysta w pracy z systemów lub usług chronionych hasłem, które często mają wymuszone zasady resetowania hasła. Dlatego może to prowadzić do ponownego przemyślenia tych strategii, biorąc pod uwagę mocne argumenty Microsoftu wspomniane powyżej.