Коли ви скористаєтесь опцією "пароль ніколи не закінчується"?

9

Мені просто цікаво, коли вам слід встановити обліковий запис користувача, щоб пароль ніколи не закінчувався. На яких рахунках це гарна ідея?

windows-server-2008 password-management user-accounts

— Чаркель
джерело

2

Коли це моє. Серйозно, нічого не дратує, як сісти з головою, сповненою ідей, а потім змусити думати про дурні пропозиції, які дозволяють запам'ятати новий пароль. Я розумію обґрунтування політики та частини мого мозку погоджуються, що паролі потрібно регулярно міняти і що комп'ютери добре виконувати це та все, але ... :)

— Саймон Ріхтер

@Simon Richter Я не впевнений, що я розумію обґрунтування політики. Примушування користувачів регулярно змінювати свої паролі не робить нічого більш безпечним (якщо хтось має несанкціонований доступ до вашого старого пароля без вашого відома, він може повторно застосувати будь-яку техніку, щоб отримати ваш новий пароль, це, ймовірно, буде порівняно міцним). Це призводить до того, що більше користувачів роблять фізичні нотатки своїх паролів або використовують системи, де новий пароль передбачуваний, особливо для облікових записів, які використовуються нечасто. Краще порадити, ніж застосовувати, користувач повинен взяти на себе відповідальність.

— Лі Ковальковський

Більшість людей збираються записувати свої паролі незалежно від будь-якої політики щодо закінчення терміну придатності, а примітка, яка була просто "загублена", не є причиною для зміни пароля, оскільки примітка повинна бути в безпечному місці тощо. Використовувати новий пароль так часто, принаймні, буде визнано недійсним всі ці паролі на старих і забутих post-його.

— Саймон Ріхтер

Я насправді не розумію, як змусити користувачів змінити свої паролі, мабуть, допоможе. Чи користувачі люблять через деякий час розкривати свої старі паролі? Я думаю, що це допомагає, якщо зловмисник хоче деякий час лежати низько, перш ніж розпочати атаку, але це здається невеликим малоймовірним виграшем.

— rjmunro

20

Я вважаю, що це виправдане місце - на рахунках послуг. Зазвичай ви не хочете, щоб пароль службового облікового запису просто закінчувався, що може спричинити збій усіх процесів, які виконує обліковий запис. В інтерактивних облікових записах користувачів завжди повинні бути паролі, які відповідають політиці паролів.

Ви повинні переконатися, що якщо встановити облікові записи служб не закінчуються, що у вас є хороші процеси щодо запитів цих облікових записів і переконайтеся, що ви вручну скидаєте паролі через певний проміжок часу. У багатьох галузях є стандарти відповідності, які зобов’язують змінювати всі паролі облікового запису через певний інтервал.

— BoxerBucks
джерело

8

Автоматизовані сценарії можуть використовувати його (я зіткнувся з проблемами в системах, де заплановані завдання, коли не вдалося тихо, оскільки термін дії власника минув). Очевидно, це стосувалося послуг, що не стосуються Інтернету.

— Чашки
джерело

3

Обслуговування / комунальні рахунки.

— Подрібнювач3
джерело

0

Єдиний раз, коли ми використовуємо опцію «Ніколи не закінчується пароль», - це облікові записи послуг. Ми використовуємо систему поза Active Directory для надання облікових записів користувачів AD, і частина змушує користувачів змінювати свій пароль кожні 90 днів. Якщо параметр не встановлено, знаю, щоб заблокувати акаунти та розбити речі о 2 ранку, коли сценарій запускається.

— Techwrekfix
джерело

0

Основним з них є облікові записи послуг, як згадувалося раніше, однак інший варіант - для облікових записів, які можуть мати дуже низький профіль ризику в поєднанні з нечастою профілем використання - наприклад, обліковий запис, який входить в систему раз на рік, який дає доступ лише до читання. некритичні дані. Якщо термін дії пароля закінчується, користувач або записує пароль, або використовує службу довідки для скидання пароля кожного разу.

Це не найкраща практика, але якщо ризик низький, це може бути правильним рішенням у цьому прикладі.

— Рорі також
джерело