Jedną z praktyk zapobiegających naruszeniom bezpieczeństwa w firmach jest wymaganie od użytkowników cyklicznego wprowadzania nowego hasła. Microsoft nie uznaje jej jednak za skuteczną. W nowych standardach bezpieczeństwa dla Windows 10 v1903 oraz Windows Server v1903 gigant uznaje zasadę cyklicznej zmiany haseł za przestarzały, antyczny wręcz środek zapobiegawczy o niskiej wartości.
Na blogu Microsoft Security Guidance firma szczegółowo omawia nowe wytyczne. Microsoft porzuca wprawdzie zasady wygaszania haseł, ale nie proponuje zmian co do minimalnej ich długości, historii i złożoności.
Cykliczne wygaszanie hasła chroni wyłącznie przed prawdopodobieństwem, że hasło (albo hash) zostanie wykradzione w okresie ważności i zostanie użyte przed nieuprawniony podmiot. Jeżeli hasło nigdy nie było wykradzione, nie ma potrzeby jego wygaszania. A jeśli macie dowody, że hasło zostało wykradzione, prawdopodobnie powinniście zareagować natychmiastowo zamiast czekać na wygaśnięcie, by rozwiązało ten problem.
– Aaron Margosis, Principal Consultant w Microsoft
Microsoft powołuje się na współczesne badania, które podają w wątpliwość skuteczność wielu długoterminowych praktyk związanych z hasłami, w tym ich wygaszania, i wskazują na lepsze alternatywy, takie jak wymuszanie listy zabronionych haseł i uwierzytelnianie wieloskładnikowe. Microsoft oczywiście je zaleca, ale nie może ich wymusić ani zawrzeć w security baseline.