ไมโครซอฟท์เผยรายละเอียดของการเปลี่ยนแปลงด้านความปลอดภัยใน Windows 10 May 2019 Update (v1903) ที่จะออกตัวจริงช่วงปลายเดือนหน้า

ประเด็นสำคัญคือการเปลี่ยนค่าดีฟอลต์คอนฟิกของ Windows 10 (ศัพท์อย่างเป็นทางการคือ security baseline) ที่ใช้กับผู้ใช้องค์กร โดยเลิกบังคับให้รหัสผ่านมีวันหมดอายุ (password expiration) ที่ส่งผลให้ผู้ใช้ต้องเปลี่ยนรหัสผ่านใหม่ทุกระยะเวลาที่กำหนด (ค่าดีฟอลต์คือ 60 วัน)

ไมโครซอฟท์ให้เหตุผลโดยอ้างงานวิจัยหลายชิ้น (ข่าวเก่า งานวิจัยบ่งชี้เปลี่ยนรหัสผ่านทุก 2-3 เดือน "เสียมากกว่าได้") ว่าผู้ใช้มักเปลี่ยนรหัสผ่านเดิมเล็กน้อยด้วยรูปแบบที่คาดเดาได้ง่าย

อีกทั้งนโยบายการให้เปลี่ยนรหัสผ่านบ่อยๆ เกิดจากจุดประสงค์ว่าต้องการป้องกันความเสี่ยงจากรหัสผ่าน (เดิม) ถูกขโมย และหากรหัสผ่านไม่ถูกขโมยก็ไม่จำเป็นต้องเปลี่ยน ซึ่งคนส่วนใหญ่ที่ไม่ค่อยถูกขโมยรหัสผ่าน ก็ไม่ได้ประโยชน์อะไรจากการถูกบังคับเปลี่ยน นอกจากความรำคาญ

ไมโครซอฟท์ถึงกับบอกว่า การบังคับเปลี่ยนรหัสผ่านเป็นวิธีแก้ปัญหาแบบโบราณที่ล้าสมัยแล้ว แถมไม่ได้ประโยชน์อะไร

Periodic password expiration is an ancient and obsolete mitigation of very low value, and we don’t believe it’s worthwhile for our baseline to enforce any specific value.

ไมโครซอฟท์จึงตัดสินใจตัดคอนฟิกนี้ออกจาก security baseline ตามนโยบายที่ต้องการให้ตัว baseline สั้นกระชับที่สุดเท่าที่เป็นไปได้ และเปิดโอกาสให้แอดมินขององค์กรเป็นผู้ตัดสินใจว่าต้องการกำหนด password expiration หรือไม่

ใน Windows 10 v1903 ยังปิดการใช้งานบัญชีระดับ Guest และ Admin เป็นค่าดีฟอลต์ และต้องอาศัยแอดมินขององค์กรเป็นผู้ใช้เปิดใช้งานด้วยตัวเอง

ที่มา - Microsoft, Ars Technica