Яке обґрунтування мінімального віку пароля?

11

У мене просто не було можливості користувача змінити свій пароль у домені Windows 2008. Це давало йому виразне повідомлення про вимоги щодо складності, хоча він був впевнений, що його обраний пароль відповідає їм. Я сам це перевірив і підтвердив.

Здається, його останній пароль був встановлений занадто недавно за рекомендованим Microsoft дефолтом приблизно на 10 днів, якщо я пам'ятаю.

Він поставив мені дуже гарне запитання, на яке я не міг відповісти: чому буде мінімальний вік пароля? Як це може розумно виграти безпеці? Він також зазначив, що ви можете виявити, що їх пароль буде порушений протягом цього 10-денного періоду, і не зможете його змінити!

Чи може бути якась поважна причина встановити мінімальний вік пароля?

active-directory  security  password 
Кевін
джерело

Відповіді:

14

По-перше, технічна відповідь:

Налаштуйте мінімальний вік пароля більше 0, якщо ви хочете, щоб Закріпити історію паролів. Без мінімального віку пароля користувачі можуть повторно перебирати паролі, поки не дістаються до старого улюбленого.

http://technet.microsoft.com/en-us/library/cc779758(v=ws.10).aspx (Server 2003) http://technet.microsoft.com/en-us/library/hh994570(v= ws.10) .aspx (Server 2008 / Windows Vista і далі)

Отже, це хороша причина, щоб вона не була 0. Крім того, згідно з цими статтями:

За замовчуванням

1 на контролерах домену.

0 на автономних серверах.

Отже, іншими словами, за замовчуванням - це мінімум, який потрібно мати, щоб мати змогу застосувати історію паролів.

Зараз особисто я не думаю, що є вагомі причини безпеки для забезпечення мінімального віку паролів, але можуть бути деякі практичні / людські причини. Наприклад, ви можете обмежити кількість змін пароля, щоб зменшити кількість дзвінків "Забув мій пароль". Можливо, я це бачив як практичне для учнів середньої школи.

Нарешті, варто пам’ятати, що ці обмеження не поширюються на ручні скидання паролів з «Користувачі та комп’ютери» Active Directory Таким чином, користувач завжди може звернутися за допомогою до Sysadmin, якщо їм дійсно потрібно змінити пароль.

Ден
джерело
3

Обґрунтуванням мінімального віку пароля є запобігання поверненню користувачів до старого пароля відразу після примусової зміни пароля. Цю політику найкраще використовувати разом з політикою "історії паролів" (не дозволяти користувачам повторно використовувати останню кількість X попередніх паролів).

Девід
джерело
-2

Мінімальний вік пароля також може слугувати заходом безпеки. Що робити, якщо хакер змінив пароль відразу після того, як вони ввірвалися в комп'ютер?

ЛЖ
джерело
Мінімальний вік пароля з цим мало нічого спільного. Якщо користувач може змінити свій власний пароль на певному етапі, він не захищений від зловмисного агента, який змінює свій пароль. Якщо користувачів не змушують змінювати свої паролі кожні n днів і не можуть змінитись до цього часу ... це настільки драконічно, що я сумніваюся, що будь-який ІТ-менеджер міг би це виправдати.
Корі
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.