En av de bland användare mest förhatliga säkerhetspolicys är att tvinga användarna att byta lösenord efter en viss tidsperiod, ofta tre månader. Policyn har fortfarande sina anhängare, men allt fler lutar åt att denna policy inte har någon större positiv effekt på it-säkerheten inom en organisation, vissa hävdar till och med att den kan vara till men för säkerheten då användarna hittar på allsköns trick för att göra bytet så enkelt som möjligt.
It-bjässen Microsoft sällar sig nu till den skara som vill bort från policyn. I det senaste förslaget till förändringar av Microsofts rekommendationer för en grundnivå av säkerheten i systemen för de kommande versionerna av Windows Server 2019 och Windows 10 (1903), som förmodligen kommer släppas i slutet på maj, har man valt att ta bort policyn från grundnivån, skriver Bleeping Computer.
Policyn att påtvinga lösenordsbyten är en del av Microsofts grundnivå för säkerhet (security baseline) och ska alltså ses som en del av en helhet som tillsammans lägger en grundnivå av säkerhet. Det betyder två saker: dels visar denna förändring av policyn att regelbundna lösenordsbyten, enligt Microsofts agerande, inte spelar någon större roll för grundnivån då policyn inte ersätts av någonting annat – dels betyder det att organisationer trots allt bör införa starkare skydd för sina användare och helst komma bort från lösenord helt och hållet, eller i vart fall i möjligaste mån.
Microsoft presenterade sitt förslag till förändringar av grundnivån för säkerhet, där bland annat skrotandet av lösenordsbyten ingår, i en bloggpost. Ett annat av förslagen är att ta bort policyn som rekommenderar att administratörs- och gäst-konton inte aktiveras per automatik; det betyder dock inte att de kommer att aktiveras per automatik, utan att administratörer kan välja att aktivera dem vid behov.
Läs också:
Så gör du Office 365 säkert – guiden till en perfekt installation
Ny attack rundar tvåfaktors-autentisering hos Office 365 och Google G Suite