“密码最低年龄”设置的目的是什么?

信息安全 密码
2021-08-09 17:58:41

“密码最低年龄”可以提供哪些额外的安全性?

例如:用户只能在上次密码更改后的 24 小时后更改密码。

4个回答

它通常与防止重复使用X个先前密码的设置结合使用 - 最短密码使用期限旨在阻止用户循环使用其先前的密码以返回首选密码。

显然,有效性取决于最小密码年龄设置和用户。

这是来自微软的更正式的解释:

漏洞

用户可能拥有他们喜欢使用的最喜欢的密​​码,因为它们易于记忆,并且他们相信他们的密码选择是安全的,不会受到损害。不幸的是,密码可能会被泄露,如果攻击者针对特定的个人用户帐户,在了解有关该用户的数据的情况下,重复使用旧密码可能会导致安全漏洞。要解决密码重用问题,您必须使用安全设置的组合。将此策略设置与强制密码历史策略设置一起使用可防止旧密码的轻松重复使用。例如,如果您配置强制密码历史策略设置以确保用户不能重复使用他们最近 12 个密码中的任何一个,但您没有配置密码最短使用期限 策略设置为大于 0 的数字,用户可以在几分钟内更改密码 13 次并重新使用其原始密码。您必须将此策略设置配置为大于 0 的数字,以使强制密码历史记录策略设置生效。

对策

将最短密码使用期限策略设置配置为至少 2 天的值。用户应了解此限制,如果需要在这两天内更改密码,请联系帮助台。如果您将天数配置为 0,则允许立即更改密码,我们不建议这样做。

潜在影响

如果管理员为用户设置了密码,但希望该用户在用户首次登录时更改密码,则管理员必须选中用户下次登录时必须更改密码复选框,否则用户必须在第二天才能更改密码.

来源

也可以这样使用,即您每天更改密码,密码最短使用期限为 1 天。这样,如果有人入侵了您的帐户或获取了您的密码等,他/她将无法更改您的密码,这意味着您仍然可以访问您的帐户缺点是,您在接下来的 24 小时内也无法更改密码,因此他们仍然可以访问您的帐户。

编辑:这不是官方原因,但可能而且很好用。

至少有两件事发生,这是一种 AD 安全功能,只有在您正确使用 AD 功能在“n”次尝试失败后锁定并且还要求您的系统记住“nx 2”个以前的密码时才有意义——“nx 2”被完全从空中拉出来,比“n”大得多,这样一个大致了解受害者密码的攻击者就会在探索你的安全意识较低的合作伙伴之前将自己锁在外面工人的密码空间。最终,这些策略只有在您的用户警觉时才会真正变得强大,并且您不会在明显锁定的“n”分钟内自动解锁他们的帐户。

这很有趣,因为上周一个新人问我这个问题:

1) 旨在防止用户循环使用“n”个唯一密码,以便他们可以循环回到他们的“首选密码”,例如“Password1”。

因此,如果系统记住您最近的 10 个 (n=10) 密码(通过散列,而不是明文,任何检查您的“编辑距离”的系统都会通过存储明文或将密码压缩成多个散列来损害安全性)然后结束用户将需要浪费至少“nx 最小密码年龄”天来更改他们的密码,直到他们到达原来的密码,这不鼓励这种做法。尽管人们喜欢说“更改密码会降低安全性”,但只有当您的用户基本上没有使用新密码时,这才是正确的。如果您的用户经常从“Password1”切换到“Password2”等等,那么如果攻击者必须通过这一系列密码猜测他们的方式,您仍然会更加安全。所有赌注都因暴力密码文件攻击而失败,

2) 如果您走进您的工作场所并且是一个具有安全意识并期望在您的大脑中以安全为重的成年人,您应该将无法登录您的工作站视为安全事件。如果您是那种从“Password2”游到“Password3”直到到达终点的人,此功能会为您提供更多信息,否则您可能会拥有这些信息。

因此,如果您的帐户被锁定并且不知道原因,请发出红色警报!有人正在尝试某事,或者您将自己锁在门外,或者有一个自动化过程试图使用您的凭据。

就算是你输错了 20 次密码,你是真的忘记了,还是被别人改了?

假设您最终在没有管理员干预的情况下进入,并决定即使您昨天 99% 确定您的密码是“Password2”,但突然变成了“Password3”。因为一个顽皮的 SA 临时更改了您的密码,以便在您的帐户下执行一些可审核的事件,然后尝试将您的密码更改回来,但它们被关闭了。这不太可能,为什么 SA 不只是猜测您的密码?也许他们正试图避免触发任何登录失败事件,并简单地使用他们的正常管理工具来更改它,然后将其“改回”。

您可以尝试更改密码并确定是否有人在前一天更改了密码,而不是简单地说“嗯,这很奇怪”,以便在您的帐户下执行“邪恶行为”。您将被告知您无法更改密码,因为它最近已更改。

这也不是“官方原因”,#1 是——但它使最终用户能够确定地知道其他人是否在泄露您的密码。根据我的经验,人们倾向于在安全和非安全环境中使用相同的密码,而黑帽或心怀不满的管理员可以比您想象的更容易找出您最喜欢的密​​码“趋势”。

人们常常认为他们“忘记了密码”,只是假设它从一天到另一天被神奇地忘记了。很多时候,情况就是这样。但是,如果您处于真正安全的环境中,请三思而后行!

是的,我意识到这个具有安全意识的最终用户不应该像这样循环使用密码,因为有人能够探索您的锁定窗口和密码更改频率窗口(30-90 天)只是时间问题等)来弄清楚你,但用户经常在假设管理员知道他们的密码并且可以做他们想做的任何事情的情况下进行操作。如果您不假设这一点,而是知道他们必须不遗余力地弄清楚您的密码可能是什么,那么只有这些信息才能改变游戏规则。

其它你可能感兴趣的问题
上一篇为什么有些网站强制缺少 SSL? 下一篇可以使用防病毒/病毒保护来监视您吗?