Quando você usaria a opção "a senha nunca expira"?

9

Estou simplesmente querendo saber quando você deve definir uma conta de usuário para que a senha nunca expire. Em que contas é uma boa ideia?

windows-server-2008 password-management user-accounts Charkel
fonte
2
Quando é meu. Sério, nada é tão irritante quanto sentar com a cabeça cheia de idéias e depois ser forçado a pensar em frases idiotas que permitem memorizar sua nova senha. Eu entendo a lógica por trás da política e partes do meu cérebro concorda que as senhas devem ser trocadas regularmente e que os computadores são bons em fazer cumprir isso e tudo, mas ... :)
Simon Richter
@ Simon Richter Não tenho certeza se entendo a lógica por trás da política. Forçar os usuários a alterar suas senhas regularmente não torna nada mais seguro (se alguém tiver acesso não autorizado à sua senha antiga sem o seu conhecimento, poderá aplicar novamente qualquer técnica para obter sua nova senha, é provável que seja de força comparável). Isso faz com que mais usuários façam anotações físicas de suas senhas ou usem sistemas em que a nova senha é previsível, especialmente para contas usadas com pouca frequência. Melhor aconselhar do que aplicar, o usuário deve assumir a responsabilidade.
Lee Kowalkowski 10/03/11
A maioria das pessoas anotará suas senhas, independentemente de qualquer política de expiração, e uma nota que foi apenas "perdida" não é um motivo para alterar a senha, pois ela deve estar em um local seguro, etc. usar uma nova senha de vez em quando invalidará pelo menos todas essas senhas em post-it antigos e esquecidos.
Simon Richter
Realmente não entendo como forçar os usuários a alterar suas senhas. Os usuários gostam de revelar suas senhas antigas depois de um tempo? Acho que ajuda se o invasor quiser ficar quieto por um tempo antes de iniciar um ataque, mas isso parece um pequeno ganho improvável.
Rjmunro 11/03

Respostas:

20

O único lugar em que posso ver isso sendo justificado é nas contas de serviço. Normalmente, você não deseja que uma senha da conta de serviço expire, o que pode causar a falha de todos os processos executados nessa conta. As contas de usuário interativas sempre devem ter senhas, seguindo a política de senhas.

Você deve garantir que, se você definir contas de serviço para não expirar, tenha bons processos para consultá-las e redefinir manualmente as senhas em algum intervalo. Existem padrões de conformidade em muitos setores que exigem que todas as senhas da conta sejam alteradas em algum intervalo específico.

BoxerBucks
fonte
8

Scripts automatizados podem usá-lo (eu encontrei problemas em sistemas em que tarefas agendadas falhavam silenciosamente porque a senha do proprietário expirou). Obviamente, isso era para serviços não relacionados à Internet.

Cooperativas
fonte
3

Contas de serviço / utilidade.

Chopper3
fonte
0

O único momento em que usamos a opção "A senha nunca expira" é nas contas de serviços. Usamos um sistema fora do Active Directory para provisionar contas de usuário do AD e parte dele obriga os usuários a alterar sua senha a cada 90 dias. Se a opção não estiver marcada, sabe-se bloquear as contas e quebrar as coisas às 2 da manhã quando o script é executado.

Techwrekfix
fonte
0

A principal delas são as contas de serviço, como mencionado anteriormente, mas outra opção é para contas que podem ter um perfil de risco muito baixo combinado com um perfil de uso pouco frequente - por exemplo, uma conta que é logada uma vez por ano e fornece acesso somente de leitura a alguns dados não críticos. Se ele expirasse, o usuário anotaria a senha ou usaria o suporte técnico para redefinir a senha todas as vezes.

Não é uma prática recomendada, mas se o risco for baixo, pode ser a coisa certa a fazer neste exemplo.

Rory Alsop
fonte