Qual è la logica per un'età minima per la password?

11

Ho appena avuto un utente in grado di cambiare la sua password su un dominio Windows 2008. Gli stava dando un messaggio criptico sui requisiti di complessità, anche se era certo che la sua password scelta li stesse soddisfacendo. L'ho provato da solo e confermato.

Sembra che la sua ultima password sia stata impostata troppo di recente per impostazione predefinita consigliata da Microsoft di qualcosa come 10 giorni, se ricordo.

Mi ha fatto un'ottima domanda, a cui non ho potuto rispondere: perché dovrebbe esserci un'età minima per la password? In che modo ciò potrebbe ragionevolmente favorire la sicurezza? Ha anche sottolineato che si potrebbe scoprire che la loro password è stata compromessa entro questo periodo di 10 giorni e che non è possibile cambiarla!

Ci sarebbe un motivo valido per imporre un'età minima per la password?

active-directory  security  password 
Kevin
fonte

Risposte:

14

Innanzitutto, una risposta tecnica:

Configurare l'età minima della password su più di 0 se si desidera che la cronologia delle password di Enforce sia efficace. Senza un'età minima per le password, gli utenti possono scorrere ripetutamente le password fino a quando non raggiungono un vecchio preferito.

http://technet.microsoft.com/en-us/library/cc779758(v=ws.10).aspx (Server 2003) http://technet.microsoft.com/en-us/library/hh994570(v= ws.10) .aspx (Server 2008 / Windows Vista in poi)

Quindi, questa è una buona ragione per non essere 0. Inoltre, secondo quegli articoli:

Predefinito

1 su controller di dominio.

0 su server autonomi.

Quindi, in altre parole, il valore predefinito è il minimo necessario per poter applicare una cronologia delle password.

Ora, personalmente, non penso che ci sia un valido motivo di sicurezza per imporre l'età minima della password, ma potrebbero esserci alcuni motivi pratici / umani. Ad esempio, è possibile limitare il numero di modifiche alla password per ridurre il numero di chiamate "Password dimenticata". Ho potuto vedere questo essere pratico per gli studenti delle scuole superiori, forse.

Infine, vale la pena ricordare che questi limiti non si applicano ai ripristini manuali delle password con Utenti e computer di Active Directory. Quindi un utente può sempre chiedere aiuto a Sysadmin se ha davvero bisogno di cambiare la propria password.

Dan
fonte
3

La logica alla base dell'età minima della password è impedire agli utenti di ripristinare la loro vecchia password immediatamente dopo una modifica forzata della password. Questa politica viene utilizzata al meglio insieme alla politica "cronologia password" (impedisce agli utenti di riutilizzare il loro ultimo numero X di password precedenti).

David
fonte
-2

L'età minima della password può anche servire come misura di sicurezza. Che cosa succede se l'hacker ha cambiato la password immediatamente dopo essere entrato nel computer?

LZH
fonte
L'età minima della password non ha nulla a che fare con questo. Se l'utente è in grado di cambiare la propria password a un certo punto, non è protetto da un agente malintenzionato che modifica la propria password. A meno che gli utenti non siano costretti a cambiare le loro password ogni n giorni e non possano cambiare prima di quel momento ... il che è così draconiano che dubito che qualsiasi manager IT possa giustificarlo.
Corey,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.