Apparemment, Microsoft pense maintenant que l'expiration du mot de passe - c'est-à-dire un système dans lequel l'utilisateur est obligé de changer son mot de passe de connexion tous les six mois environ - n'est pas une mesure de sécurité utile. Dans une nouvelle version du guide de sécurité, Microsoft a modifié ses règles de base pour la prochaine version de Windows 10 (mise à jour de mai 2019 imminente, ainsi que Windows Server) pour supprimer les recommandations de "politique de sécurité". expiration du mot de passe nécessitant des changements de mot de passe périodiques. " Microsoft dit que lorsque les utilisateurs sont obligés de créer des mots de passe difficiles à mémoriser, ils les notent souvent pour les rendre plus faciles à retenir, avec des risques de sécurité évidents. Et, lorsque les gens sont obligés de changer de mot de passe, "trop souvent, ils apporteront une petite modification prévisible à leurs mots de passe existants et/ou oublieront leurs nouveaux mots de passe". Le message de Microsoft sur TechNet explique : « Des recherches scientifiques récentes remettent en question la valeur de nombreuses pratiques de sécurité des mots de passe de longue date, telles que les politiques d'expiration des mots de passe, et indiquent plutôt de meilleures solutions, telles que l'application de listes de mots de passe interdits (la protection par mot de passe Azure AD est un excellent exemple) et l'authentification multi-facteurs. " En outre, il a précisé que s'il est « donné » qu'un mot de passe peut être volé à l'utilisateur, pendant combien de temps est-il acceptable de permettre au voleur de continuer à utiliser et potentiellement abuser de cet identifiant ? Lien? L'heure par défaut de Windows est actuellement de 42 jours. le post note : « Cela ne semble-t-il pas ridiculement long ? Eh bien oui, et pourtant notre référence actuelle dit 60 jours et 90 jours, car forcer une expiration fréquente introduit ses propres problèmes. Et si vous n'êtes pas sûr que les mots de passe seront volés, ces problèmes ne vous seront d'aucune utilité. "De plus, si vos utilisateurs sont prêts à répondre aux enquêtes de stationnement en échangeant une barre chocolatée avec leurs mots de passe, il n'y a pas de mot de passe. Cette politique d'expiration vous aidera. " C'est bien sûr un bon point. conclut que l'expiration du mot de passe dans des délais définis est une "atténuation à l'ancienne de très faible valeur", et la société n'y croit pas. Les directives de sécurité de base de Windows valent la peine de définir une valeur spécifique. En d'autres termes, les entreprises sont libres de faire ce qui est le mieux pour elles, Microsoft ne fait aucune recommandation pour cela à l'avenir. Ce n'est qu'un projet de document pour le moment, ce qui signifie qu'il ne s'agit que de modifications proposées, mais Microsoft semble certainement avoir invoqué un argument solide derrière cette décision. Ce changement de sécurité (potentiel) n'affecte évidemment pas les utilisateurs de Windows 10 à la maison. Cependant, beaucoup d'entre nous utilisent des systèmes ou des services protégés par mot de passe au travail, et ceux-ci ont souvent des politiques de réinitialisation de mot de passe appliquées. par conséquent, cela pourrait conduire à repenser ces stratégies, compte tenu des puissants arguments de Microsoft mentionnés ci-dessus.