已強制執行密碼過期

若 Microsoft Entra ID 中的密碼過期設定錯誤，則會要求使用者定期變更密碼，這可能會在無意中造成安全弱點。傳統的過期原則使用了過時的假設，即使用者會頻繁更新受到入侵的憑證。實際上，頻繁變更密碼通常會導致使用者採用可預測的模式或僅對舊密碼做些微變更，進而降低整體複雜性，並使帳戶更容易遭受暴力破解和字典攻擊。

強制變更密碼可能會增加發生不安全儲存的風險，因為使用者可能會寫下密碼、將密碼儲存在未經核准的位置，或建立容易猜測的模式以記住密碼。此行為會破壞安全性，並可能導致未經授權的存取行為。企業強制執行密碼過期時，可能會無意間鼓勵使用者違反最佳做法，進而擴大攻擊破綻。

BOD 25-01 強制執行的 CISA「Microsoft Entra ID 的 M365 安全設定基準」中的 MS.AAD.6.1v1 原則規定「使用者密碼不得設定過期時間」。未遵循規定可能會導致監管和營運方面的問題，對於受 CISA 監管的聯邦機構和承包商影響尤為顯著。在現今的安全環境中，強制執行密碼過期並不符合以身分為中心的安全原則，該原則優先考慮持續監控、條件式存取和根據威脅所採取的控管機制，而不是僵化的密碼生命週期原則。 NIST SP 800-63 的現代指導方針也建議不要任意輪換密碼，並指出，在沒有證據顯示遭到入侵的情況下，強制定期變更密碼會降低密碼的隨機性並削弱整體安全性。 此曝險指標會偵測在一定時間後啟用密碼過期的網域。

啟用 Microsoft Entra ID 中的「將密碼設為永不過期」設定，以移除密碼過期原則。

將密碼視為靜態密碼，並強調安全的初始設定、強式密碼建立指導方針和可靠的帳戶復原機制。著重於偵測異常行為和未經授權的存取嘗試，而不是以時間為基礎強制執行密碼變更。

與其強制定期變更密碼，不如著重於使用多因素驗證 (MFA)、條件式存取原則等方法，或是 FIDO2 金鑰等無密碼選項。這些方法可減少對密碼的依賴，並確保無論密碼的使用多久，都只有經過驗證的使用者才能存取帳戶，進而提高安全性。

最後，遵循 CISA 的建議有助於減少技術負債，並使您的身分識別系統更強大、更可靠。

名稱: 已強制執行密碼過期

代碼名稱: PASSWORD-EXPIRATION-ENFORCED

嚴重性: Low

類型: Microsoft Entra ID Indicator of Exposure