Microsoft ha deciso di mettere da parte il concetto di scadenza delle password: a partire da Windows 10 Aggiornamento di maggio 2019 (versione 1903) e comunque sia in Windows 10 che in Windows Server 2019, non sarà più possibile impostare una scadenza per le password degli account account come avvenuto fino ad oggi.
I tecnici della società di Redmond considerano le password “a scadenza” come un concetto ormai obsoleto e consigliano l’adozione di pratiche più moderne quali l’autenticazione a più fattori, l’utilizzo di strumenti per il rilevamento di attacchi brute force e di tentativi di login anomali, l’imposizione di liste di password espressamente vietate (viene ad esempio citata Azure AD Password Protection, disponibile in versione di anteprima pubblicamente accessibile).
Già nel 2016 il NIST statunitense (National Institute for Standards and Technology) aveva osservato come aveva suggerito agli enti pubblici la rimozione delle politiche di gestione delle password che ne prevedevano la scadenza automatica dopo un certo periodo. La modifica delle password andrebbe richiesta soltanto a fronte del rilevamento di una possibile attività sospetta.
È lo stesso Aaron Margosis (Microsoft) a far notare come impostare una scadenza per le password usate in Windows abbia poco senso: nel caso in cui si verificasse un incidente, le password devono essere modificate subito senza di certo attenderne la scadenza.
La modifica proposta, insieme con diverse altre, è illustrata in questo documento ufficiale.