Jakie jest uzasadnienie minimalnego wieku hasła?

11

Właśnie miałem użytkownika, który nie mógł zmienić swojego hasła w domenie Windows 2008. To dawało mu tajemniczą wiadomość o wymaganiach dotyczących złożoności, mimo że był pewien, że wybrane hasło je spełnia. Sam to przetestowałem i potwierdziłem.

Wygląda na to, że jego ostatnie hasło zostało ustawione zbyt niedawno na zalecaną przez Microsoft wartość domyślną wynoszącą około 10 dni, jeśli pamiętam.

Zadał mi bardzo dobre pytanie, na które nie mogłem odpowiedzieć: dlaczego miałby istnieć minimalny wiek hasła? W jaki sposób może to korzystnie wpłynąć na bezpieczeństwo? Zwrócił także uwagę, że w ciągu 10 dni można odkryć, że hasło zostało naruszone i nie będzie można go zmienić!

Czy istnieje jakikolwiek uzasadniony powód do wprowadzenia minimalnego wieku hasła?

active-directory security password Kevin
źródło

Odpowiedzi:

14

Po pierwsze, odpowiedź techniczna:

Skonfiguruj minimalny wiek hasła, aby był większy niż 0, jeśli chcesz, aby wymuszanie historii haseł było skuteczne. Bez minimalnego wieku hasła użytkownicy mogą cyklicznie zmieniać hasła, aż dojdą do starego ulubionego.

http://technet.microsoft.com/en-us/library/cc779758(v=ws.10).aspx (Server 2003) http://technet.microsoft.com/en-us/library/hh994570(v= ws.10) .aspx (Server 2008 / Windows Vista i nowsze)

To dobry powód, aby nie wynosić 0. Ponadto, zgodnie z tymi artykułami:

Domyślna

1 na kontrolerach domeny.

0 na serwerach autonomicznych.

Innymi słowy, domyślnie jest to minimum potrzebne do wymuszenia historii haseł.

Teraz osobiście nie sądzę, aby istniał ważny powód bezpieczeństwa do egzekwowania minimalnego wieku haseł, ale mogą istnieć jakieś praktyczne / ludzkie powody. Na przykład możesz ograniczyć liczbę zmian hasła, aby ograniczyć liczbę połączeń „Nie pamiętam hasła”. Być może widziałem, że jest to praktyczne dla uczniów szkół średnich.

Na koniec warto pamiętać, że limity te nie dotyczą ręcznego resetowania hasła w usłudze Użytkownicy i komputery usługi Active Directory. Dlatego użytkownik zawsze może poprosić Sysadmin o pomoc, jeśli naprawdę musi zmienić swoje hasło.

Dan
źródło
3

Uzasadnieniem minimalnego wieku hasła jest uniemożliwienie użytkownikom powrotu do starego hasła natychmiast po wymuszonej zmianie hasła. Zasad najlepiej najlepiej korzystać w połączeniu z polityką „historii haseł” (uniemożliwić użytkownikom ponowne użycie ich ostatniej X liczby poprzednich haseł).

David
źródło
-2

Minimalny wiek hasła może również służyć jako środek bezpieczeństwa. Co jeśli haker zmienił hasło natychmiast po włamaniu się do komputera?

LZH
źródło
Minimalny wiek hasła nie ma z tym nic wspólnego. Jeśli użytkownik może na pewnym etapie zmienić własne hasło, nie jest chroniony przed złośliwym agentem zmieniającym hasło. Chyba że użytkownicy będą zmuszeni do zmiany haseł co n dni i nie mogą się zmienić przed tym czasem ... co jest tak drakońskie, że wątpię, by jakikolwiek kierownik IT mógł to uzasadnić.
Corey,