微软概述了Windows 10版本1903和WindowsServer版本1903的新安全设置。

微软的Aaron Margosius写道：“当人类选择自己的密码时，他们往往很容易猜测或预测。“当人类被分配或被迫创建难以记住的密码时，他们通常会写下密码，让其他人看到。当人类被迫更改密码时，他们通常会对现有密码进行微小且可预测的更改，并且/或者忘记新密码。”

Margossis表示，除了密码过期策略，还有更好的替代方案，包括禁用密码列表和多因素身份验证，但微软无法使用其推荐的安全配置基准来实施这些策略。

其中一个主要问题是，只有当密码被盗时，密码驱逐才能保护用户。如果发生了这种情况，大多数人很快就会意识到并立即采取行动，而不是在被要求更改密码之前等待长达42天。

“……强制频繁到期会带来自身的问题。如果不是密码被盗，你会在没有任何好处的情况下得到这些问题。”马戈修斯补充道。

例如，其他密码策略要求最小长度以及字母、数字和符号的组合保持不变。

本周早些时候，仍有数百万人使用123456作为密码。