Microsoft is van plan om het advies te schrappen dat Windows-gebruikers periodiek hun inlogwachtwoord moeten wijzigen. Het gaat dan specifiek om accounts die worden beheerd via het groepsbeleid.
Microsoft heeft een draft gepubliceerd van de baseline-instellingen voor de beveiligingsconfiguratie van Windows 10 versie 1903 en Windows Server versie 1903, algemeen bekend als de May 2019 Updates.
Het document bevat aanbevolen beleid met betrekking tot groepen gebruikers in een bedrijfsnetwerk. Denk aan regels die bepaalde functies en services beperken om misbruik te voorkomen, evenals het blokkeren van bepaalde functies die door malware kunnen worden misbruikt om het systeem of netwerk aan te vallen.
Wachtwoordbeleid
Tot nu toe was ook het op gezette tijdstippen verplicht veranderen van Windows-wachtwoorden onderdeel van dit baseline-document. Microsoft erkent evenwel dat het een “verouderde en overbodige mitigatie van weinig waarde” is. Het advies wordt in het nieuwe document geschrapt, omdat het volgens Microsoft niet langer “de moeite loont”.
“Het periodiek laten verlopen van een wachtwoord is alleen een verdediging tegen de waarschijnlijkheid dat een wachtwoord (of hash) tijdens het geldigheidsinterval wordt gestolen en door een niet-geautoriseerde entiteit wordt gebruikt”, zegt Aaron Margosis, principal consultant bij Microsoft. “Als een wachtwoord nooit wordt gestolen, is het niet nodig om het te laten vervallen. En als je bewijs hebt dat een wachtwoord is gestolen, zal je vermoedelijk onmiddellijk handelen in plaats van te wachten tot de vervaldatum is verlopen om het probleem op te lossen.”
Zelf kiezen
Door de verplichting volledig uit de baseline te verwijderen, kunnen organisaties zelf bepalen welk wachtwoordbeleid ze hanteren, zonder het advies van Microsoft tegen te spreken. Tegelijk verschuift het bedrijf de focus naar het gebruik van lange en unieke wachtwoorden, die sterker zijn.
Microsoft maakt de juiste beslissing. Het verplicht moeten aanpassen van wachtwoorden leidt vaak tot frustratie bij gebruikers en zorgt ervoor dat ze eenvoudigere wachtwoorden gebruiken, doordat ze vaak voor een variant van het oude wachtwoord kiezen in plaats van een compleet nieuw.
Voormalig chief technologist van de Amerikaanse Federal Trade Commission, Lorrie Cranor, waarschuwde hier al voor in 2016: “Een aanvaller die het wachtwoord van een gebruiker al kent, wordt waarschijnlijk niet gedwarsboomd door een wachtwoordwijziging. Zodra een aanvaller een wachtwoord kent, kan hij het volgende wachtwoord van de gebruiker vaak gemakkelijk raden.”
Gerelateerd: Dit zijn de 25 slechtste wachtwoorden van 2018