Qual é a justificativa para uma idade mínima da senha?

11

Acabei de ter um usuário incapaz de alterar sua senha em um domínio do Windows 2008. Ele estava dando a ele uma mensagem enigmática sobre requisitos de complexidade, mesmo tendo certeza de que a senha escolhida os cumpria. Eu mesmo testei e confirmei.

Parece que sua última senha foi definida muito recentemente, de acordo com o padrão recomendado pela Microsoft de aproximadamente 10 dias, se bem me lembro.

Ele me fez uma pergunta muito boa, que não pude responder: por que haveria uma idade mínima para a senha? Como isso poderia beneficiar razoavelmente a segurança? Ele também apontou que é possível descobrir que sua senha está comprometida dentro desse período de 10 dias e não ser capaz de alterá-la!

Haveria algum motivo válido para impor uma idade mínima para a senha?

Kevin
fonte

Respostas:

14

Em primeiro lugar, uma resposta técnica:

Configure a idade mínima da senha para ser maior que 0 se desejar que o histórico de senha do Forçar seja eficaz. Sem uma idade mínima para a senha, os usuários podem alternar entre as senhas repetidamente até chegarem a um favorito antigo.

http://technet.microsoft.com/en-us/library/cc779758(v=ws.10).aspx (Server 2003) http://technet.microsoft.com/en-us/library/hh994570(v= ws.10) .aspx (Server 2008 / Windows Vista em diante)

Portanto, esse é um bom motivo para não ser 0. Além disso, de acordo com esses artigos:

Padrão

1 em controladores de domínio.

0 em servidores independentes.

Portanto, em outras palavras, o padrão é o mínimo necessário para impor um histórico de senhas.

Agora, pessoalmente, não acho que exista um motivo de segurança válido para impor idades mínimas de senha, mas pode haver alguns motivos práticos / humanos. Por exemplo, você pode restringir o número de alterações de senha para reduzir o número de chamadas "Esqueci minha senha". Eu poderia ver isso sendo prático para estudantes do ensino médio, talvez.

Por fim, vale lembrar que esses limites não se aplicam às redefinições de senha manuais dos Usuários e Computadores do Active Directory. Portanto, um usuário sempre pode pedir ajuda ao Sysadmin se realmente precisar alterar sua senha.

Dan
fonte
3

A lógica por trás da idade mínima da senha é impedir que os usuários voltem para a senha antiga imediatamente após uma alteração forçada da senha. Essa política é melhor usada em conjunto com a política "histórico de senhas" (impede que os usuários reutilizem seu último número X de senhas anteriores).

David
fonte
-2

A idade mínima da senha também pode servir como uma medida de segurança. E se o hacker alterasse a senha imediatamente após invadir o computador?

LZH
fonte
A idade mínima da senha tem pouco ou nada a ver com isso. Se o usuário conseguir alterar sua própria senha em algum momento, ele não estará protegido contra um agente malicioso que altera sua senha. A menos que os usuários sejam forçados a alterar suas senhas a cada n dias e não possam mudar antes desse período ... o que é tão draconiano que duvido que qualquer gerente de TI possa justificá-lo.
Corey