Microsoft anbefaler ikke lenger periodisk bytte av passord i Windows. Andre sikkerhetstiltak er langt mer effektive.
Microsoft anbefaler ikke lenger periodisk bytte av passord i Windows. Andre sikkerhetstiltak er langt mer effektive. (Skjermbilde: digi.no)

Passordbytte

Microsoft vil fjerne anbefaling om periodisk passordbytte i Windows

Eldgammelt og foreldet tiltak, mener selskapet.

I tidligere tider var rådet at passord burde byttes ut jevnlig, fordi dette potensielt kunne hindre misbruk dersom passordet ble lekket. Mange i IT-sikkerhetsbransjen har gått vekk fra dette rådet, fordi de mener det ikke bidrar til økt sikkerhet. Først og fremst gjør en slik regel det enda vanskeligere for brukerne å huske eller administrere passordene sine. Det er mange som ikke har bare ett passord å forholde seg til. 

Grunnleggende sikkerhetskonfigurasjon

Microsoft er i ferd med å utforme en ny, grunnleggende («baseline») sikkerhetskonfigurasjon for den kommende høstoppdateringen av Windows 10 og Windows Server. I en omtale av et utkast til disse, skriver selskapet at de vil la være å inkludere policyer som krever periodiske passordbytter. 

I Windows er standardinnstillingen for levetiden til passord 42 dager, mens dagens grunnleggende sikkerhetskonfigurasjon krever passordbytte etter 60 dager.

– Periodisk passordbytte er et forsvar kun mot sannsynligheten for at et passord (eller hash) kommer til å bli stjålet og bli brukt av en ikke-autorisert instans mens det fortsatt er gyldig. Dersom et passord aldri blir stjålet, er det ingen grunn til la det utløpe. Og dersom du har bevis for at et passord har blitt stjålet, ville du sannsynligvis handle umiddelbart framfor å vente til at passordbyttet løser problemet, skriver Microsoft.

Foreldet tiltak

Selskapet mener at periodisk passordbytte medfører egne problemer, og dersom det ikke er gitt at passord kommer til å bli stjålet, så innføres disse problemene uten noen hensikt. 

– Videre, dersom brukerne dine er av den typen som er villige til å svare på spørreundersøkelser på parkeringsplassen i bytte mot godteri for passordene deres, så vil ingen policy om passordutskifting hjelpe deg, heter det i omtalen fra Microsoft.

Selskapet mener at periodisk passordutskifting er et eldgammelt og foreldet tiltak med svært lav verdi, som det ikke er umaken verd å oppgi noen spesifikk verdi for i den grunnleggende sikkerhetskonfigurasjonen.

Fortsatt mulig

Dette betyr ikke at kundene ikke kan selv kan sette opp periodisk passordskifting. Men Microsoft stiller spørsmål om hvor mye beskyttelse dette vil gi, dersom de samme kundene ikke har tatt i bruk mer moderne tiltak, som passordsvartelister, flerfaktor autentisering, samt deteksjon av forsøk på å gjette passord og av avvikende innloggingsforsøk.

I det nevnte blogginnlegget omtaler Microsoft også andre planlagte endringer i den grunnleggende sikkerhetskonfigurasjonen, blant annet knyttet til knyttet til kontoene Administrator og Guest.

Les også: «Jeg angrer», sier mannen som gjorde at du må lage slike passord

Kommentarer (2)

Kommentarer (2)
Til toppen