迫定期改密碼安全啲? Microsoft稱措施過時

環球社會熱點 18:17 2019/06/10

分享:

不少企業電腦均會強制定期更改密碼,員工每隔一段時間便要為新密碼傷腦筋,一個不小心忘記便無法登入,無疑十分麻煩。微軟(Microsoft)發布最新安全指引,大唱反調,稱迫改密碼對保安根本幫助不大,形容是過時做法。

Microsoft在新版本的Windows 10及Windows Server中,取消定期更改密碼的密碼過期政策(password expiration policies)。Microsoft形容,定期密碼更改是過時的安全措施,價值十分低,不值得保留。

Microsoft在安全指引中強調,密碼本身應具一定複雜性及長度,但按人類一般行為做法,當定期被迫改密碼,為免忘記,往往會使用簡單密碼,或只作輕微更改,甚至將密碼抄錄。頻頻更改反而降低安全性。

強迫改密碼實質作用亦有限,按Microsoft解釋,密碼過期政策只能對抗密碼被盜後的未經授權使用,若密碼一直未有被盜,其實無必要更改,若已經被盜,則亦不應待至密碼到期才更改。

真正有效的防護措施,是訂立禁用密碼清單,確保無法使用最易於破解的密碼,此外多重認證、偵查反常登入狀況等措施,均是更有效的選擇。

撰文 : 林建忠

緊貼財經時事新聞分析,讚好hket Facebook 專版