已强制实施密码过期策略

在 Microsoft Entra ID 中，若密码过期设置配置不当（要求用户定期更改密码），可能会无意中引入安全漏洞。传统的过期策略基于一种过时的假设：用户会频繁更新已被泄露的凭据。事实上，频繁更换密码往往会导致用户使用可预测的密码模式或仅对原密码做微小改动，进而削弱密码的复杂性，增加帐户遭受暴力破解和字典攻击的风险。

强制性的密码更改会增加不安全存储的风险，因为用户为便于记忆，可能会将密码写下来、存储在未经批准的位置，或采用易于猜测的密码模式。这种行为会削弱安全性，并可能导致未经授权的访问。通过强制实施密码过期策略，组织可能会无意中促使用户采取不安全的做法，最终扩大攻击面。

根据 BOD 25-01 的要求，CISA“Microsoft Entra ID 的 M365 安全配置基准”中的 MS.AAD.6.1v1 策略明确规定：“用户密码不得设置过期时间”。未能遵守相关规定可能引发监管处罚与运营风险，特别是对于受 CISA 管辖的联邦政府机构及其承包商而言。在当今的安全环境中，强制实施密码过期策略已不再符合以身份为中心的安全原则。后者优先采用持续监控、条件访问和基于威胁的控制机制，而非死板的密码生命周期策略。 NIST SP 800-63 发布的新式安全指南也建议不要随意实施密码轮换。该文件指出，在没有证据表明帐户被入侵的情况下，强制定期更换密码反而会降低密码的随机性，并削弱整体安全性。

此风险暴露指标可检测在特定时间段后启用了密码过期策略的域名。

Tenable 建议根据组织的风险承受能力，以及您所在行业和地区的相关行业标准和监管要求，选择合适的密码过期设置。

在 Microsoft Entra ID 中启用“将密码设置为永不过期”设置，以移除密码过期策略。

将密码视为静态密钥，重点加强初始配置的安全性，提供强密码创建规范，并建立可靠的帐户恢复机制。安全策略应侧重于检测异常行为与未经授权的访问尝试，而非强制要求用户定期更改密码。

与其强制定期更改密码，不如优先采用多因素身份验证 (MFA) 、条件访问策略等方法，或 FIDO2 密钥等无密码选项。此类方法通过降低对密码的依赖程度并强化身份验证流程，来保障帐户安全，无论其密码是否长期未更改。

最后，采纳 CISA 的建议有助于您降低技术负担，同时增强身份系统的安全性与稳定性。

名称: 已强制实施密码过期策略

代码名称: PASSWORD-EXPIRATION-ENFORCED

严重性: Low

类型: Microsoft Entra ID Indicator of Exposure