【HK01】Windows密碼毋須密密改？微軟新安全基準取消擾民政策

Windows通常約三個月（90日）便要求用家更改登入系統的密碼、加強資料保安，此項政策卻經常阻礙不少趕着用電腦開工的人士，造成不少難題。相信大家都領教過以下煩事：被要求更過密碼時急就章改了一個新密碼應付，卻沒有寫低；即使只是微調原有密碼（大部份人做法），卻偏偏忘得一乾二淨，下次開機便無法登入，費時又失事！如今這種無理的「安全措施」即將走入歷史。

PC用家，最慘莫過於被Windows定期強行要求更改登入密碼，事後卻不記得新密碼，活活把自己鎖在電腦外。Microsoft微軟公布Windows 10 1903版本（又稱「19H1」）和Windows Server 1903版本的安全基準設定草案（Security baseline draft），當中要留意是會取消定期變更密碼的密碼過期政策。

Microsoft移除Windows需要定期更改密碼的密碼過期政策，全因他們承認此項安全做法「過時、效益極低」。微軟表示，密碼安全問題由來已久，用家選擇密碼時，往往設計出容易輸入和猜測的簡單密碼（方便自己）。當系統要求或強迫​用家想出一組難記的複雜密碼，他們通常會寫低，他人見到便有機會見到。而系統要求變更密碼時，用家也傾向做出很小且可以預測的變更，又或者忘記新密碼（這萬年麻煩看來微軟工程師自己都領教過，算是「官方吐糟」吧）。​

微軟終於了解到一個道理、一個正常PC使用者的習性，就是如果Password被外人知道了，自己一定不會「坐以待竊」。定期變更密碼好處是當密碼或相關的雜湊（Hashes）被偷時，能偵測或阻止未經授權的存取行為，但如果密碼不會被盜，就無必要設定有效限期。一旦得知密碼被盜，正常人都會立即採取行動更改密碼，不會等人存取或依賴密碼的有效期限來保障安全。

好簡單比喻。即使你知道你的信用卡即將於下個月到期，要是那張卡遺失了，是被扒手打荷包又好、在街上跌咗都好，正常人最理智的做法都是即刻致電發卡機構或銀行「Cut卡」，而不會祈求扒手或拾遺者在到期前不會「亂碌」。微軟認為再無必要在安全基準要求中保留密碼過期政策，企業可選擇最適合自己的安全措施。但密碼長度限制、防止重覆使用等做法，微軟不建議移除，也反對企業用家降低密碼複雜性。

諸種額外防護措施，如實施禁用密碼清單、多因素驗證、引入密碼猜測攻擊或異常登錄的偵測技術等，微軟都建議企業採取。只是上述做法不會加入到Windows群組政策（Group Policy）的建議安全基準。微軟在草案中也表明考慮取消強制Default關閉管理員（Administrator）和訪客（Guest）帳號的安排，亦不會Default開啟。管理員可視情況，手動啟用兩種帳戶。

#科技