web-dev-qa-db-ja.com

パスワードの最低有効期間の根拠は何ですか?

Windows 2008ドメインでパスワードを変更できないユーザーがいました。それは彼が彼の選んだパスワードがそれらを満たしていると確信していたとしても彼に複雑さの要件についての不可解なメッセージを与えていました。自分でテストして確認しました。

私が思い出すと、彼の最後のパスワードは、マイクロソフトが推奨するデフォルトである10日あたりに設定されたのが最近すぎたようです。

彼は私に答えることができなかった非常に良い質問を私に尋ねました:なぜ最小パスワードの年齢があるのでしょうか?これはどのようにしてセキュリティに合理的に利益をもたらすことができますか?彼はまた、この10日の期間内に自分のパスワードが危険にさらされ、変更できない可能性があることに気づくかもしれないと指摘しました。

最小パスワードの有効期間を強制する正当な理由はありますか?

11
Kevin

まず、技術的な答え:

[パスワードの履歴を記録する]を有効にする場合は、パスワードの最小有効期間を0以上に構成します。パスワードの有効期間を設定しないと、ユーザーは古いお気に入りに到達するまでパスワードを繰り返し使用できます。

http://technet.Microsoft.com/en-us/library/cc779758(v = ws.10).aspx (Server 2003) http://technet.Microsoft.com /en-us/library/hh994570(v=ws.10).aspx (サーバー2008/Windows Vista以降)

だから、それが0にならない正当な理由です。さらに、これらの記事によると:

Default

ドメインコントローラでは1。

スタンドアロンサーバーでは0。

したがって、言い換えると、デフォルトは、パスワード履歴を適用できるようにするために必要な最小値です。

個人的には、パスワードの有効期限を有効にするための有効なセキュリティ上の理由はないと思います実用的/人間的な理由がある可能性があります。たとえば、パスワードを変更する回数を制限して、「パスワードを忘れた」呼び出しの回数を減らすことができます。これはおそらく高校生にとって実用的であることがわかりました。

最後に、これらの制限はActive Directoryユーザーとコンピュータからの手動パスワードリセットには適用されないことを覚えておく価値があります。したがって、ユーザーは、本当にパスワードを変更する必要がある場合は、常にシステム管理者に助けを求めることができます。

14
Dan

最小パスワード有効期間の背後にある理論的根拠は、パスワードが強制的に変更された直後にユーザーが古いパスワードに戻らないようにすることです。このポリシーは、「パスワード履歴」ポリシーと一緒に使用するのが最適です(ユーザーが最後のX個の以前のパスワードを再利用できないようにします)。

3
David