Quando useresti l'opzione "la password non scade mai"?


9

Mi chiedo semplicemente quando è necessario impostare un account utente in modo che la password non scada mai. Per quale motivo è una buona idea?


2
Quando è mio. Seriamente, niente è fastidioso come sedersi con la testa piena di idee e poi essere costretto a pensare a frasi stupide che ti permettono di memorizzare la tua nuova password. Capisco la logica alla base della politica e parti del mio cervello concordano sul fatto che le password dovrebbero essere cambiate regolarmente e che i computer sono bravi a far rispettare questo e tutto, ma ... :)
Simon Richter

@Simon Richter Non sono sicuro di capire la logica alla base della politica. Costringere gli utenti a cambiare regolarmente le loro password non rende nulla di più sicuro (se qualcuno non ha accesso non autorizzato alla tua vecchia password a tua insaputa, potrebbe riapplicare qualsiasi tecnica per ottenere la tua nuova password, è probabile che abbia una forza comparabile). Porta a un numero maggiore di utenti che prendono appunti fisici sulle proprie password o utilizzano sistemi in cui la nuova password è prevedibile, in particolare per gli account utilizzati di rado. Meglio consigliare che far rispettare, l'utente dovrebbe assumersi la responsabilità.
Lee Kowalkowski il

La maggior parte delle persone scriverà le loro password a prescindere da qualsiasi politica di scadenza e una nota che è stata semplicemente "persa" non è un motivo per cambiare quella password, poiché la nota deve essere in un posto sicuro, ecc. Forzare le persone l'uso di una nuova password ogni tanto invaliderà almeno tutte quelle password su post-it vecchi e dimenticati.
Simon Richter,

Non ho davvero idea di come forzare gli utenti a cambiare le loro password dovrebbe aiutare. Gli utenti amano rivelare le loro vecchie password dopo un po '? Immagino che sia d'aiuto se l'attaccante vuole rimanere a terra per un po 'prima di lanciare un attacco, ma sembra un piccolo guadagno improbabile.
rjmunro,

Risposte:


20

L'unico posto in cui posso vederlo giustificato è sugli account di servizio. In genere non si desidera che una password dell'account di servizio scada semplicemente, il che potrebbe causare il fallimento di tutti i processi eseguiti dall'account. Gli account utente interattivi devono sempre avere password che seguono la politica delle password.

È necessario assicurarsi che se si impostano gli account di servizio in modo che non scadano, è necessario disporre di buoni processi per interrogare tali account e assicurarsi di reimpostare manualmente le password a un certo intervallo. Esistono standard di conformità in molti settori che imporranno che tutte le password degli account vengano modificate a intervalli specifici.


8

Gli script automatici possono usarlo (ho riscontrato problemi nei sistemi in cui le attività pianificate dovevano fallire silenziosamente perché la password del proprietario era scaduta). Ovviamente questo era per i servizi non connessi a Internet.



0

L'unica volta che utilizziamo l'opzione "La password non scade mai" è negli account dei servizi. Utilizziamo un sistema esterno ad Active Directory per eseguire il provisioning di account utente AD e parte di esso forza gli utenti a cambiare la password ogni 90 giorni. Se l'opzione non è selezionata, è noto che è possibile bloccare gli account e interrompere le cose alle 2 del mattino quando lo script viene eseguito.


0

Il principale sono gli account di servizio, come menzionato in precedenza, tuttavia un'altra opzione è per gli account che possono avere un profilo di rischio molto basso combinato con un profilo di utilizzo non frequente, ad esempio un account che viene eseguito l'accesso una volta all'anno che consente l'accesso in sola lettura ad alcuni dati non critici. Se fosse scaduta la password, l'utente scriverebbe la password o utilizzerà l'helpdesk per reimpostare la password ogni volta.

Non è la migliore pratica, ma se il rischio è basso potrebbe essere la cosa giusta da fare in questo esempio.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.