Na Microsoftovom blogu, piše Bug, objavljen je prijedlog promjena koje bi uskoro trebale biti implementirane u Windowse 10 (od verzije 1903 odnosno 19H1) te Windows Server također verzije 1903. Među manjim sigurnosnim promjenama ističe se i jedna koju će vjerojatno primijetiti veći broj poslovnih korisnika – ona koja se tiče potrebe za periodičkom izmjenom pristupne lozinke.

Brojni korisnici čija se računala nalaze u većim sustavima imaju obvezu, nametnutu od strane administratora ili IT službe, da svakih, primjerice, 30 ili 60 dana mijenjaju svoje lozinke iz sigurnosnih razloga. U slučaju da lozinka bude ukradena ovakva bi promjena trebala onemogućiti neovlaštene upade u sustave. No, Microsoft sada kaže da mijenjanje lozinke ne pomaže pri osiguravanju sustava. Ako je lozinka ukradena, svaki dan nakon tog čina sustav je u opasnosti i nema te politike periodičke promjene koja će pri tome pomoći u zaštiti.

S druge strane, ako je lozinka kvalitetna, nije ukradena, a unutar sustava implementirane su druge mjere zaštite (dvofaktorska provjera identiteta, detekcija brute-force napada i sl.), onda lozinku nije potrebno uopće mijenjati. Stoga se čini kako je politika koja postoji već godinama sasvim zastarjela, beskorisna i sama za sebe ne koristi gotovo nikome. Iz tog razloga Microsoft će je vjerojatno ukloniti u spomenutim verzijama Windowsa 10 i preporučiti organizacijama da, ako već nisu, uvedu bolje mjere zaštite.

Dodatni razlog za ukidanje obveze promjena lozinki jest što ljudi taj zadatak obavljaju prilično loše. Većina onih koji su primorani svakih nekoliko tjedana izmisliti novu lozinku na postojeću jednostavno pridoda jedan znak ili učini minornu promjenu kako bi je lakše zapamtili. Ili jednostavno novu lozinku negdje zapišu i drže u blizini računala. Sve to, pak, znači da će i novu i staru lozinku biti vrlo lako predvidjeti i probiti.