2019年8月

卷34号8

[别让我打开话匣子]

计划变更

David Platt |2019年8月

David PlattPigs 是飞行的。Hell 正在冻结。Microsoft 正在告诉用户他们不再需要定期更改密码。

这听起来很奇怪, 考虑到多年来, 我们一直在不断执行密码更改的 harangues。但这是正确的。Microsoft 安全指南博客 (bit.ly/2Lq4jUB) 中介绍的 Aaron Margosis 如何更改 windows 10 和 windows Server 的安全基准, 指出 Microsoft 要 "删除需要的密码过期策略定期密码更改。 " 圣吧。

Margosis 说明:"当强制用户更改其密码时, 他们过于频繁地会对其现有密码进行少量且可预测的更改, 并/或忘记其新密码。" 他继续对定期密码过期的成本与从这些方面获得的安全性提升进行仔细讨论。我特别敬仰, Margosis 将其放在用户的用户鞋上, 而不是徒劳, 他们会将其转换为更具逻辑性的内容。我建议您阅读整个部分。

不过, 这种情况并不是个问题。用户不会经常使用该快捷方式。 每个人都会要求 admits 每次都进行一次。这就是在超过用户的 "麻烦预算" 的情况下发生的情况, 我在2013年4月的专栏 (msdn.com/magazine/dn166939.aspx) 中讨论了这种情况。

这就是我们摆脱定期重置的时候了。它们不是良性的。有关密码重置过于频繁的抱后果的残忍说明, 请阅读 "请勿损坏:生活、死亡和大脑外科的故事, "通过英语 neurosurgeon Henry Marsh (圣圣马丁, 2014)。对于所有的安全架构师, 都应该需要阅读。

我很高兴看到, 我已经命名了合理的安全移动。我已经提倡了这一情况, 因为至少 2003, 我在bit.ly/2xiK6I7的新闻稿中 (也公布了我的女儿 Lucy, 他可能会在您阅读本指南时获得其驾照)。Bruce Schneier 在其优秀的书籍中撰写了关于平衡工作量与回报, 而不是担心:考虑到揭示在不确定的世界中的安全性 "(Copernicus 书籍, 2003)。Cormac Herley 的 Microsoft 研究, 探讨了用户在一篇名为 "非常长" 的白皮书中如何进行这些权衡, 而不是感谢您的 Externalities:用户的安全建议的合理拒绝 "(bit.ly/2LzdySL)。在 it 中, Herley decries 的具有讽刺意味, 这是许多安全建议, 不仅比好的损害更大 (因此会被拒绝), 而且还会受到更多的损害, 而只是因为用户忽略它。 "

不过, 这些更改会慢慢地发生。我参与了 Lorrie Cranor 的 Harvard 讲座, Carnegie 卡内基梅隆的教授, 探讨了安全和可用性的不容易共存 (查看bit.ly/2xfmV1t的视频)。她在美国 scholar部门, 她必须使用六个单独的系统, 其中包含单独的登录凭据。她设法说服这两个系统的管理员: 密码重置不是经济高效的, 但是在本主题中, 即使她研究了该主题 (请参阅bit.ly/2RFKz0v), 她也无法说服他人。她并不告诉我们, 但我会告诉您, 她只是在这些系统上已升级了她的过期密码的最后一位, 如宇宙中的其他人。

我想知道此更改在 Microsoft 内部系统中的工作方式。我的朋友说到目前为止。但值得一提的是, 大多数人都说: "我很少使用密码登录了。我只是在笔记本电脑上使用摄像机。 " 这是由 Windows Hello 表示的, 它通过面部识别对用户进行身份验证。正如我所说的那样:用户是懒惰的, 这是人为的自然而不可避免的后果。(请参阅我的第一列, msdn.com/magazine/ee309884。) 如果你进行了更简单的操作, 人们会跳过它。(在 haste 中, surrendering 其生物识别数据, 而无需担心隐私, 但这是另一天的主题。)

我是其他人的人。我要确保我的下一台便携式计算机具有支持它的照相机, 因此我也可以停止使用密码。


David S. Platt 在哈佛大学拓展学院以及世界各地的公司讲授 .NET 编程。他著有 11 本编程书籍,包括“Why Software Sucks”(Addison-Wesley Professional,2006)和“Introducing Microsoft .NET”(Microsoft Press,2002 年)。Microsoft 在 2002 年授予他“软件传奇人物”称号。他绑住他是否应该贴下两个女儿的手指, 她将了解如何以八进制计数。您可以通过 rollthunder.com 与他联系。


在 MSDN 杂志论坛讨论这篇文章