Khi nào bạn sẽ sử dụng mật khẩu trên mạng không bao giờ hết hạn tùy chọn?


9

Tôi chỉ đơn giản là tự hỏi khi nào bạn nên thiết lập một tài khoản người dùng để mật khẩu không bao giờ hết hạn. Trên tài khoản này là một ý tưởng tốt?


2
Khi nó là của tôi. Nghiêm túc mà nói, không có gì khó chịu bằng việc ngồi xuống với đầu đầy ý tưởng và sau đó bị buộc phải nghĩ ra những câu ngu ngốc cho phép bạn ghi nhớ mật khẩu mới. Tôi hiểu lý do căn bản đằng sau chính sách và các bộ phận trong não của tôi đồng ý rằng mật khẩu nên được thay đổi thường xuyên và máy tính rất tốt trong việc thực thi điều này và mọi thứ, nhưng ... :)
Simon Richter

@Simon Richter Tôi không chắc là tôi hiểu lý do căn bản đằng sau chính sách này. Buộc người dùng thay đổi mật khẩu thường xuyên sẽ không làm cho mọi thứ an toàn hơn (nếu ai đó truy cập trái phép vào mật khẩu cũ của bạn mà bạn không biết, họ có thể áp dụng lại bất kỳ kỹ thuật nào để lấy mật khẩu mới của bạn, đó có thể là sức mạnh tương đương). Điều này dẫn đến việc nhiều người dùng ghi chú mật khẩu của họ hoặc sử dụng các hệ thống mà mật khẩu mới có thể dự đoán được, đặc biệt là đối với các tài khoản được sử dụng không thường xuyên. Tốt hơn để tư vấn hơn là thực thi, người dùng nên chịu trách nhiệm.
Lee Kowalkowski

Phần lớn mọi người sẽ ghi lại mật khẩu của họ bất kể chính sách hết hạn nào và một lưu ý chỉ bị "mất" không phải là lý do để thay đổi mật khẩu, vì lưu ý phải ở nơi an toàn, v.v. để sử dụng một mật khẩu mới thường xuyên ít nhất sẽ làm mất hiệu lực tất cả các mật khẩu đó trên mật khẩu cũ và bị quên.
Simon Richter

Tôi thực sự không hiểu làm thế nào để buộc người dùng thay đổi mật khẩu của họ được cho là có ích. Người dùng có muốn tiết lộ mật khẩu cũ của họ sau một thời gian không? Tôi đoán nó có ích nếu kẻ tấn công muốn nằm yên một lúc trước khi tiến hành một cuộc tấn công, nhưng đó dường như là một lợi ích nhỏ không thể xảy ra.
rjmunro

Câu trả lời:


20

Một nơi tôi có thể thấy nó đang được chứng minh là trên các tài khoản dịch vụ. Thông thường, bạn không muốn mật khẩu tài khoản dịch vụ hết hạn, điều này có thể khiến tất cả các quy trình mà tài khoản chạy không thành công. Tài khoản người dùng tương tác phải luôn có mật khẩu theo chính sách mật khẩu.

Bạn phải đảm bảo nếu bạn đặt tài khoản dịch vụ không hết hạn rằng bạn có các quy trình tốt xung quanh việc truy vấn các tài khoản này và đảm bảo bạn đặt lại mật khẩu theo cách thủ công trong một khoảng thời gian. Có các tiêu chuẩn tuân thủ trong rất nhiều ngành sẽ bắt buộc tất cả mật khẩu tài khoản được thay đổi tại một số khoảng thời gian cụ thể.


8

Các tập lệnh tự động có thể sử dụng nó (Tôi đã gặp sự cố trên các hệ thống trong đó các tác vụ theo lịch trình không thành công do mật khẩu của chủ sở hữu đã hết hạn). Rõ ràng điều này là cho các dịch vụ không phải là internet.



0

Lần duy nhất chúng tôi sử dụng tùy chọn "Mật khẩu không bao giờ hết hạn" là trên các tài khoản dịch vụ. Chúng tôi sử dụng một hệ thống bên ngoài Active Directory để cung cấp tài khoản người dùng AD và một phần trong đó buộc người dùng phải thay đổi mật khẩu của họ sau mỗi 90 ngày. Nếu tùy chọn không được chọn, bạn đã biết khóa tài khoản và ngắt nội dung lúc 2 giờ sáng khi tập lệnh chạy.


0

Cái chính là các tài khoản dịch vụ, như đã đề cập trước đây, tuy nhiên một tùy chọn khác dành cho các tài khoản có thể có hồ sơ rủi ro rất thấp kết hợp với hồ sơ sử dụng không thường xuyên - ví dụ: tài khoản được đăng nhập mỗi năm một lần chỉ cho phép truy cập vào một số dữ liệu không quan trọng. Nếu nó đã hết hạn mật khẩu, người dùng sẽ ghi lại mật khẩu hoặc sử dụng bộ phận trợ giúp để đặt lại mật khẩu mỗi lần.

Đó không phải là cách thực hành tốt nhất, nhưng nếu rủi ro thấp thì đó có thể là điều đúng đắn trong ví dụ này.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.