密码到期时间已经过期 您的密码也已存在

梅是一个重要的月份，这标志着对非理性偏执的理智和实用主义的胜利。我显然不是在谈论政治。我终于谈到了微软 - 最后!但是要归功于他们这样做!-从其Windows 10安全基准中删除密码过期策略。

虽然NIST和其他人在此之前应该得到这种信誉，但我认为值得花一点时间来认识到这个时刻真正是行业的根本变革。- SwiftOnSecurity(@SwiftOnSecurity)

许多企业级组织(包括TechCrunch的所有者Verizon)要求其用户定期更改其密码。这是一个非常适得其反的政策。要引用微软：

最近的科学研究质疑许多长期密码安全实践(如密码过期策略)的价值，而不是指向更好的替代方案......如果密码永远不会被窃取，则无需过期。如果您有证据证明密码被盗，您可能会立即采取行动，而不是等待到期以解决问题。

...如果组织已成功实施禁用密码列表，多因素身份验证，检测密码猜测攻击以及检测异常登录尝试，他们是否需要定期密码到期?如果他们没有实施现代缓解措施，他们将从密码到期中获得多少保护?...定期密码到期是一个古老而过时的缓解非常低的价值

如果您在此类组织中有密码，我建议您将该博客帖子发送给其系统管理员。当然，他们会忽略你，因为这是企业管理员所做的事情，而且因为信息安全(如运输安全)往往是一种非理性的单向棘轮，因为我们的恐惧文化激励了安全剧院，而不是实际的安全 - 但他们可能勉强开始接受世界已经继续前进。

相反：使用密码管理器，如LastPass或1Password。(他们有可行的免费等级!你真的没有任何借口。)使用它来消除或至少减少密码重复使用跨站点。尽可能使用双因素身份验证。是的，即使是SMS双因素身份验证，尽管数字移植和SS7攻击，因为它仍然优于单因素身份验证。

如果您使用代码或数据存储库，请停止检查您的密码和API密钥到您的回购。我是咨询公司的首席技术官，你会惊讶于有多少次客户来这个不幸的设置来找我们。存储库访问不是细粒度的，repos很容易被复制和/或它们的副本放错位置，一旦你签入了凭据，它们就会非常难以真正删除。使用像环境变量这样简单的东西是一个巨大的进步，并且当在多个环境中工作时，也会使您的生活在许多方面变得更简单。

完美的安全性不存在。世界级的安全很难。但是，如果你忠实地遵循一些基本规则，那么体面的安全通常是非常容易获得为了做到这一点，最好将这些规则保持在最低限度，并摆脱那些没有意义的规则。密码过期就是其中之一。告别它，并且很好地解决问题。

标签： 密码