Когда бы вы использовали опцию «пароль никогда не истекает»?

9

Мне просто интересно, когда вы должны установить учетную запись пользователя, чтобы пароль никогда не истек. На каких счетах это хорошая идея?

windows-server-2008 password-management user-accounts Charkel
источник
2
Когда это мое. Серьезно, ничто так не раздражает, как сидеть с головой, наполненной идеями, и затем быть вынужденным думать о глупых предложениях, которые позволят вам запомнить ваш новый пароль. Я понимаю причину, лежащую в основе политики, и части моего мозга согласны с тем, что пароли следует регулярно менять, и что компьютеры хорошо справляются со всем этим, но ... :)
Саймон Рихтер,
@ Симон Рихтер Я не уверен, что понимаю смысл политики. Принуждение пользователей регулярно менять свои пароли не делает ничего более безопасным (если кто-то имеет несанкционированный доступ к вашему старому паролю без вашего ведома, они могут применить любую технику для получения нового пароля, скорее всего, она будет сопоставимой силы). Это приводит к тому, что все больше пользователей делают физические записи своих паролей или используют системы, где новый пароль предсказуем, особенно для учетных записей, которые используются нечасто. Лучше советовать, чем обеспечивать, пользователь должен взять на себя ответственность.
Ли Ковальковски
Большинство людей собираются записывать свои пароли независимо от какой-либо политики истечения срока действия, и записка, которая была просто «потеряна», не является причиной для изменения пароля, поскольку заметка должна быть в надежном месте и т. П. использование нового пароля каждый раз, по крайней мере, лишает законной силы все эти пароли на старых и забытых сообщениях.
Саймон Рихтер
Я действительно не понимаю, как принуждение пользователей менять свои пароли должно помочь. Любят ли пользователи раскрывать свои старые пароли через некоторое время? Я думаю, это помогает, если злоумышленник хочет немного подождать, прежде чем начать атаку, но это кажется маловероятным выигрышем.
rjmunro

Ответы:

20

Единственное место, которое я вижу оправданным - это сервисные аккаунты. Как правило, вы не хотите, чтобы срок действия пароля учетной записи службы просто истек, что может привести к сбою всех процессов, выполняемых этой учетной записью. Интерактивные учетные записи пользователей всегда должны иметь пароли, соответствующие политике паролей.

Вы должны удостовериться, что если вы действительно настроили учетные записи служб, чтобы они не истекли, у вас были хорошие процессы, связанные с запросом этих учетных записей, и что вы должны вручную сбросить пароли через некоторый интервал. Во многих отраслях существуют стандарты соответствия, которые предписывают замену всех паролей учетных записей через определенный интервал.

BoxerBucks
источник
8

Автоматизированные сценарии могут использовать его (я сталкивался с проблемами в системах, где запланированные задачи завершались сбоем из-за истечения срока действия пароля владельца). Очевидно, что это было для не-интернет-услуг.

Coops
источник
3

Сервисные / сервисные счета.

Chopper3
источник
0

Единственный раз, когда мы используем опцию «Срок действия пароля не истекает», это учетные записи служб. Мы используем систему за пределами Active Directory для предоставления учетных записей пользователей AD, и ее часть заставляет пользователей менять свой пароль каждые 90 дней. Если опция не отмечена, было известно, что нужно блокировать учетные записи и ломать вещи в 2 часа ночи при запуске скрипта.

Techwrekfix
источник
0

Основной из них являются служебные учетные записи, как упоминалось ранее, однако другой вариант предназначен для учетных записей, которые могут иметь профиль с очень низким уровнем риска в сочетании с нечастым профилем использования - например, учетная запись, которая регистрируется один раз в год и предоставляет доступ только для чтения некоторым некритические данные. Если срок действия пароля истек, пользователь либо записывает пароль, либо использует справочную службу для сброса пароля каждый раз.

Это не лучшая практика, но если риск низок, это может быть правильным решением в этом примере.

Рори Олсоп
источник