Каково обоснование минимального срока действия пароля?

У меня только что был пользователь, которому не удалось изменить свой пароль в домене Windows 2008. Он давал ему загадочное сообщение о требованиях сложности, хотя он был уверен, что выбранный им пароль соответствует им. Я проверил это сам и подтвердил.

Похоже, его последний пароль был установлен слишком недавно в соответствии с рекомендованным Microsoft значением по умолчанию, например, 10 дней, если я помню.

Он задал мне очень хороший вопрос, на который я не смог ответить: с какой стати минимальный срок действия пароля? Как это может принести разумную пользу безопасности? Он также отметил, что можно обнаружить, что их пароль будет взломан в течение этого 10-дневного периода, и не сможет его изменить!

Будет ли какая-либо уважительная причина для соблюдения минимального срока действия пароля?

Во-первых, технический ответ:

Настройте минимальный срок действия пароля на более чем 0, если вы хотите, чтобы принудительно использовалась история паролей. Без минимального срока действия пароля пользователи могут многократно перебирать пароли, пока не доберутся до старого фаворита.

http://technet.microsoft.com/en-us/library/cc779758(v=ws.10).aspx (Server 2003) http://technet.microsoft.com/en-us/library/hh994570(v= ws.10) .aspx (Server 2008 / Windows Vista Onwards)

Итак, это веская причина для того, чтобы он не был 0. Кроме того, согласно этим статьям:

По умолчанию

1 на контроллерах домена.

0 на автономных серверах.

Таким образом, другими словами, по умолчанию это минимум, который вам нужен, чтобы иметь возможность применять историю паролей.

Лично я не думаю, что есть веская причина безопасности для обеспечения минимального срока действия пароля, но могут быть некоторые практические / человеческие причины. Например, вы можете ограничить количество смен паролей, чтобы сократить количество вызовов «Забыли мой пароль». Я мог видеть, что это практично для учеников средней школы, возможно.

Наконец, стоит иметь в виду, что эти ограничения не применяются к сбросу паролей вручную с помощью Active Directory Users & Computers. Таким образом, пользователь всегда может обратиться за помощью к системному администратору, если ему действительно нужно изменить свой пароль.

Обоснование минимального срока действия пароля состоит в том, чтобы предотвратить возврат пользователей к старому паролю сразу после принудительной смены пароля. Эту политику лучше всего использовать вместе с политикой «история паролей» (не позволяйте пользователям повторно использовать свой последний X из предыдущих паролей).

Минимальный срок действия пароля также может служить мерой безопасности. Что делать, если хакер изменил пароль сразу после того, как они взломали компьютер?