Microsoftは2019年4月24日、Windows 10 バージョン1903ならびにWindows Server バージョン1903のセキュリティベースラインのドラフト(仕様書)を公開しました。その中で、Microsoftはパスワードの定期変更に疑問を呈し、「パスワードに有効期限を設ける」というこれまでの方針を廃止したことを明らかにしました。

バージョン1903は2019年5月末に配布される予定の次期大型アップデートです。バージョン1903ではWindows Updateの改良が予定されていて、更新プログラムの適用を最大35日まで延期することが可能になっています。また、2017年に削除リストに追加されてしまったMSペイントが引き続きビルドに含まれることが話題となりました。

そんなバージョン1903のセキュリティベースラインのドラフトの中で、Microsoftは「パスワードの定期変更を必要とするようなパスワード有効期限ポリシーを削除します」と明記しました。

Microsoftは、「人間が自分のパスワードを選ぶ時、簡単に予測できるようなものにしてしまいがちです。しかし、覚えにくいパスワードを割り立てたり作成したりすると、他の人が見られる場所に書き留めてしまうことがよくあります。また、自分のパスワードの変更を余儀なくされると、既存のパスワードを予測可能なものに変更したり、新しいパスワードを忘れたりします」と述べ、セキュリティ業界で長年勧められてきたパスワードの定期変更に対して疑問を呈しています。

ただし、パスワードの有効期限ポリシーを削除する代わりに、セキュリティベースラインには含まれていないものの、禁止パスワードリストの導入や二段階認証などといった代替手段をMicrosoftは勧めています。

「パスワードの定期変更は不要」という主張は近年注目されているもので、2018年には日本の総務省が「実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません」と述べています。

また、Windows 10ではローカルのAdministrator(管理者)アカウントがデフォルトで無効になっていてインストール中に新規でAdministratorアカウントを作成する必要があります。MicrosoftはこのAdministratorアカウントの強制無効についてもとりやめる方針を検討していると述べています。
2019年04月26日 10時00分
https://gigazine.net/news/20190426-microsoft-drops-password-expiration-rec/

定期的に変更してください、直近10回分のパスワードとの重複は不可です

こんなこと言われたら特定のワードに1から10までの番号付加してぐるぐる使い回すことになるに決まってるからな

パスワード一つの場所では
同じの使い続けてもいいんじゃねえかという感じするけど
色んなトコで同じパスワード使い回すのはヤバいよな

それだと簡単とか複雑とか関係なく全滅するしな

マイナンバーカードにワンタイムパスワードカードつけてすべてのログイン時に入力させるようにすれば良い

というかいま手元にワンタイムパスワードカードが5個もある
統一してくれ

知ってた。

５０年、同じパスワード使ってる。

不要というか、逆に危険を感じていたわ。

パスワード期限とか短いサイトは、期限切れという警告で
偽サイトに誘導してIDとパスワード入力させるとか。

パスワードの複雑さを要求しているとこも、パスワードの誤入力しやすさを突いて、
偽サイトに誘導してIDとパスワードを入力させるとか。

偽サイトかどうかを確かめるにはURLを1文字単位で確認しないといけないしな。

一度使ったことがあるパスワードを使えなくしてるしようもやめて欲しいわ
パスワードの変更サイクルで12セット用意してるけど毎回新しいの考えるのも覚えるのも限界

方々で3000アカウント運用してると、どのパスワードに更新したのか忘れて
ロックされたアカウントが・・・

セキュリティ界隈では当たり前なんだけどね
正直いまさら感

パスワード変えろ！のメッセージを出すサービスは、正直レベル低い