不必再定期改密码了！Windows 桌机及Server版可望拿掉密码过期政策

每三个月变更一次密码的梦魇可望不再！微软公布Windows 10 桌机版及Windows Server 1903版Windows 10 1903（即19H1）及Windows Server 1903版安全基准设定草案，其中最值得注意是将拿掉要求定期变更密码的密码过期政策。

密码安全问题由来已久，因为当使用者被要求或强迫想出一组很难记忆的密码时，他们通常会写下来而被别人看到，而被要求变更密码时，使用者也只会做出很小且可预测的变更，要不然就是忘记新密码。微软说，定期变更密码唯一的好处是，当密码或相关的杂凑被偷时，能侦测或阻止非法存取行为。但如果密码都不会被偷，就没有必要设定有效限期。而且一旦密码被偷，正常用户会立即变更密码，而不会傻傻等他人来存取，或祈祷密码有效期限发挥保护。

微软承认，定期使密码过期是古早且过时的安全作法，效益极低，微软现在不认为还有必要在安全基准要求中保留这条政策。而在移除密码有效期限后，企业可以选最适合他们的安全管理措施。

但微软澄清这次变更是拿掉密码过期政策，而不是鼓励企业拿掉密码长度限制、防止重复使用密码、或降低密码复杂性。

微软重申，他们仍强烈建议企业采取额外的防护措施，像是实施禁用密码清单（如123456、password）、多因素验证、导入密码猜测攻击或异常登入的侦测技术等，只是这些作法并不会加入到Windows群组政策（Group Policy）内建的建议安全组态基准中。

此外，这次草案中，微软也正在考虑把强制预设关闭管理员（Administrator）及访客（Guest）账号的措施移除。Windows 也不会预设启用，管理员可视需求手动启用两者。微软也欢迎用户回馈意见。

其他方面，本草案还加入BitLocker磁盘加密法、网域控制器安全基准、档案总管（File Explorer）、App隐私设定、svchost.exe执行的服务等安全相关的变更。