Windows密码毋须密密改？微软新安全基准取消扰民政策

Windows通常约三个月（90日）便要求用家更改登入系统的密码、加强资料保安，此项政策却经常阻碍不少赶着用电脑开工的人士，造成不少难题。相信大家都领教过以下烦事：被要求更过密码时急就章改了一个新密码应付，却没有写低；即使只是微调原有密码（大部份人做法），却偏偏忘得一干二净，下次开机便无法登入，费时又失事！如今这种无理的“安全措施”即将走入历史。

PC用家，最惨莫过于被Windows定期强行要求更改登入密码，事后却不记得新密码，活活把自己锁在电脑外。Microsoft微软公布Windows 10 1903版本（又称“19H1”）和Windows Server 1903版本的安全基准设定草案（Security baseline draft），当中要留意是会取消定期变更密码的密码过期政策。

Microsoft移除Windows需要定期更改密码的密码过期政策，全因他们承认此项安全做法“过时、效益极低”。微软表示，密码安全问题由来已久，用家选择密码时，往往设计出容易输入和猜测的简单密码（方便自己）。当系统要求或强迫​用家想出一组难记的复杂密码，他们通常会写低，他人见到便有机会见到。而系统要求变更密码时，用家也倾向做出很小且可以预测的变更，又或者忘记新密码（这万年麻烦看来微软工程师自己都领教过，算是“官方吐糟”吧）。​

微软终于了解到一个道理、一个正常PC使用者的习性，就是如果Password被外人知道了，自己一定不会“坐以待窃”。定期变更密码好处是当密码或相关的杂凑（Hashes）被偷时，能侦测或阻止未经授权的存取行为，但如果密码不会被盗，就无必要设定有效限期。一旦得知密码被盗，正常人都会立即采取行动更改密码，不会等人存取或依赖密码的有效期限来保障安全。

好简单比喻。即使你知道你的信用卡即将于下个月到期，要是那张卡遗失了，是被扒手打荷包又好、在街上跌咗都好，正常人最理智的做法都是即刻致电发卡机构或银行“Cut卡”，而不会祈求扒手或拾遗者在到期前不会“乱碌”。微软认为再无必要在安全基准要求中保留密码过期政策，企业可选择最适合自己的安全措施。但密码长度限制、防止重复使用等做法，微软不建议移除，也反对企业用家降低密码复杂性。

诸种额外防护措施，如实施禁用密码清单、多因素验证、引入密码猜测攻击或异常登录的侦测技术等，微软都建议企业采取。只是上述做法不会加入到Windows群组政策（Group Policy）的建议安全基准。微软在草案中也表明考虑取消强制Default关闭管理员（Administrator）和访客（Guest）帐号的安排，亦不会Default开启。管理员可视情况，手动启用两种帐户。

【第一届武博】眼界．决定境界！5月3至5日在九展举行的第一届香港武术及搏击运动博览（武博），活动包括解构武术电影的光影武林隧道、有趣好玩的武馆街游戏，以及超过100个体验班，让市民、初学者或武术专家，透过这个多元化体验型博览会，从武博扩阔眼界、提升境界！

立即购票：https://event.hk01.com/events/5c80a96fbba33707e323e82b
武博专页：https://hk01.app.link/1Y9mbBUiqV