Het periodiek veranderen van wachtwoorden is een achterhaalde en zo goed als zinloze maatregel, vindt Microsoft. Om die reden zullen Windows-gebruikers niet meer periodiek gedwongen worden om hun wachtwoord aan te passen. Deze maatregel geldt voor de security baseline van Windows 10 versie 1809 en Windows Server 2019.
“Als mensen gedwongen worden om hun wachtwoorden te wijzigen, maken ze te vaak kleine en voorspelbare aanpassingen aan hun bestaande wachtwoorden en/of vergeten hun nieuwe wachtwoorden,” aldus Aaron Margosis van Microsoft.
Security baseline
Margosis stelt dat er betere alternatieven zijn. Hij noemt het handhaven van een lijst met verboden wachtwoorden en het gebruik van multifactorauthenticatie. Om bedrijven en instellingen te ondersteunen bij hun beveiliging biedt Microsoft een zogeheten security baseline met aanbevolen instellingen. De group policy om wachtwoorden regelmatig aan te passen, is in de nieuwste versie van de baseline verwijderd.
Zelf kiezen
“Het periodiek wijzigen van wachtwoorden is een verouderde en overbodige maatregel die zeer weinig waarde heeft, en we denken dat het niet zinvol is voor onze baseline om een bepaalde waarde te handhaven. Door het van onze baseline te verwijderen in plaats van een bepaalde waarde of helemaal geen expiratie aan te bevelen, kunnen organisaties kiezen wat het beste aan hun beoogde wensen tegemoet komt zonder dat het tegenstrijdig met ons advies is,” licht Margosis toe.