记录用户更改密码是否存在安全问题?每当管理员出于审计目的更改用户密码时,我已经在记录,但是是否有理由不记录每个用户何时更改自己的密码?
编辑:以下问题的答案
您期望从中获得什么收益?
主要是法医。如果用户声称他们被黑客入侵,则能够查看谁(管理员的 user_id 或自己)更改了密码。
我们不使用它来支持任何密码管理方案,例如强制更改密码或禁止密码重用。
谁可以访问这些日志?
系统管理员和可能的小型支持团队。
我们在谈论什么样的账户?
电子学习平台上的用户帐户,即教师和学生。
另外,你有密码过期规则吗?
不,我说的是存储每次更改密码的时间,而不仅仅是最后一次更改。
你在存储什么信息?(实际上没有问但暗示)
我们正在存储更改密码的用户的用户 ID、进行更改的用户的用户 ID(可能是管理员或学生教师)、更改密码的时间以及用于更改密码的 URI。