Microsoft意识到密码过期会降低安全性

考虑安全密码很困难，因此要求用户每60天更改一次密码，这会使许多人感到恐惧，并导致安全性降低。Microsoft已经意识到这一点，并决定删除默认密码到期作为Windows 10中的安全基准功能。

当组织将Windows 10部署到数十，数百甚至数千名员工时，默认的安全性非常重要。这就是Microsoft提供Windows安全基准的原因，该基准由一组Microsoft推荐的配置设置组成，可以依靠这些设置来提供更安全的操作系统。

作为基准的一部分，Microsoft过去规定了60天的密码过期策略，这意味着每个用户都必须每隔几个月更改一次密码(除非组织更改了配置)。正如Ars Technica报道的那样，随着Windows 10 v1903的发布，密码过期已从基准中删除，因为它实际上对安全性有害。

微软在其最新的Windows安全基准草案中解释说：“当人们被迫更改密码时，他们经常会对其现有密码进行较小且可预测的更改，并且/或者忘记了新密码...定期密码有效期仅是针对在有效期内密码(或哈希)被盗并被未授权实体使用的可能性的防御。如果从未盗用密码，则无需使密码过期。”

微软还指出，如果密码被盗，则根据此过期策略，小偷最多可以有60天的时间使用它，这是获得进入系统并引起混乱的充足时间。因此，在每个级别上，密码过期都根本不起作用，这就是它消失的原因。