Kiedy użyjesz opcji „hasło nigdy nie wygasa”?

9

Zastanawiam się tylko, kiedy powinieneś ustawić konto użytkownika, aby hasło nigdy nie wygasło. Na jakich kontach to dobry pomysł?

windows-server-2008 password-management user-accounts Charkel
źródło
2
Kiedy to jest moje. Poważnie, nic nie jest tak irytujące, jak siedzenie z głową pełną pomysłów, a następnie zmuszanie do wymyślania głupich zdań, które pozwalają zapamiętać nowe hasło. Rozumiem uzasadnienie tej polityki, a niektóre części mojego mózgu zgadzają się, że hasła powinny być regularnie zmieniane i że komputery są dobre w egzekwowaniu tego i wszystkiego, ale ... :)
Simon Richter
@ Simon Richter Nie jestem pewien, czy rozumiem uzasadnienie tej polityki. Zmuszanie użytkowników do regularnej zmiany haseł nie czyni nic bardziej bezpiecznym (jeśli ktoś ma nieautoryzowany dostęp do twojego starego hasła bez twojej wiedzy, może ponownie zastosować dowolną technikę uzyskania nowego hasła, prawdopodobnie będzie miał porównywalną siłę). Powoduje to, że więcej użytkowników robi fizyczne notatki na temat swoich haseł lub korzysta z systemów, w których nowe hasło jest przewidywalne, szczególnie w przypadku kont, które są rzadko używane. Lepiej doradzać niż egzekwować, użytkownik powinien wziąć na siebie odpowiedzialność.
Lee Kowalkowski,
Większość osób będzie zapisywać swoje hasła niezależnie od jakiejkolwiek polityki wygaśnięcia, a notatka, która została jedynie „zagubiona”, nie jest powodem do zmiany hasła, ponieważ notatka musi znajdować się w bezpiecznym miejscu itp. Zmuszanie ludzi używanie nowego hasła co jakiś czas co najmniej unieważnia wszystkie hasła w starych i zapomnianych post-hasłach.
Simon Richter
Naprawdę nie rozumiem, w jaki sposób zmuszanie użytkowników do zmiany haseł powinno pomóc. Czy użytkownicy lubią po pewnym czasie ujawniać swoje stare hasła? Myślę, że to pomaga, jeśli atakujący chce przez chwilę leżeć nisko przed rozpoczęciem ataku, ale wydaje się to niewielkim, mało prawdopodobnym zyskiem.
rjmunro,

Odpowiedzi:

20

Jedynym miejscem, w którym widzę, że jest to uzasadnione, są konta serwisowe. Zazwyczaj nie chcesz, aby hasło konta usługi wygasało, co może spowodować niepowodzenie wszystkich procesów uruchomionych na koncie. Interaktywne konta użytkowników powinny zawsze mieć hasła zgodne z zasadami haseł.

Musisz upewnić się, że jeśli ustawisz konta usług tak, aby nie wygasły, masz dobre procedury dotyczące wysyłania zapytań do tych kont i upewnij się, że ręcznie resetujesz hasła w określonych odstępach czasu. W wielu branżach istnieją standardy zgodności, które wymagają, aby wszystkie hasła do kont były zmieniane w określonych odstępach czasu.

BoxerBucks
źródło
8

Automatyczne skrypty mogą z niego korzystać (napotkałem problemy w systemach, w których zaplanowane zadania kończyły się niepowodzeniem, ponieważ wygasło hasło właściciela). Oczywiście dotyczyło to usług niezwiązanych z Internetem.

Coops
źródło
3

Konta usługi / narzędzia.

Siekacz 3
źródło
0

Jedynie raz korzystamy z opcji „Hasło nigdy nie wygasa” na kontach usług. Korzystamy z systemu spoza Active Directory w celu udostępniania kont użytkowników AD, a część z nich zmusza użytkowników do zmiany hasła co 90 dni. Jeśli opcja nie jest zaznaczona, wiadomo, że blokuje się konta i psuje rzeczy o 2 nad ranem, gdy skrypt działa.

Techwrekfix
źródło
0

Głównym z nich są konta serwisowe, jak wspomniano wcześniej, jednak inna opcja dotyczy kont, które mogą mieć bardzo niski profil ryzyka w połączeniu z rzadkim profilem użytkowania - na przykład konto logowane raz w roku, które daje dostęp tylko do odczytu do niektórych dane niekrytyczne. Gdyby wygasło hasło, użytkownik albo zapisałby hasło, albo skorzystał z pomocy technicznej za każdym razem, aby zresetować hasło.

Nie jest to najlepsza praktyka, ale jeśli ryzyko jest niskie, może to być po prostu słuszne w tym przykładzie.

Rory Alsop
źródło