Компания Microsoft признала, что политика истечения срока действия паролей — бессмысленная мера, не только не способствующая повышению безопасности, но и напротив, создающая дополнительные слабые места.
Интересно, что в нем разработчик признал, что практика принуждения пользователей к регулярной смене паролей не повышает безопасность. Этот прием считается не только архаичным, но и бессмысленным.
Фактически, пока пароль не был украден, его не нужно делать недействительным. И если есть подозрение, что пароль украден, необходимо действовать немедленно, а не ждать до истечения срока действия пароля. Регулярная принудительная смена пароля приводит к тому, что пользователи чаще записывают пароли или вообще забывают их. Кроме того, стремясь упростить свою задачу, пользователи выбирают короткий новый пароль или незначительно меняют старый.
Более эффективными мерами безопасности названы многофакторная аутентификация и списки запрещенных паролей.