web-dev-qa-db-ja.com

パスワードリセットリンクの推奨有効期限は何ですか?

ユーザー用に生成されたパスワードリセットリンクの推奨有効期限は何ですか?

引用/ NISTガイドラインとドキュメントへのリンクは非常に高く評価されています。

5
ztech

それは、クライアントとのコミュニケーション方法によって異なります。 NISTは、認証プロセスの一部と見なされる場合、登録プロセス中に以下を推奨します。これは、パスワードリセットプロセスと同等と見なします。また、これらは最大値であることに注意してください。これらよりも短い間隔を使用することもできます。

4.4.1.6アドレス確認

[...]

e。登録コードは、以下の最大の有効性を持つものとします。

私。 10日間、隣接する米国内の記録の住所に送付された場合。

ii。 30日、隣接する米国外の記録の住所に送付された場合。

iii。記録のある電話(SMSまたは音声)に送信された場合は10分。

iv。レコードの電子メールアドレスに送信された場合、24時間。

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63a.pdf

8
John Deters

敬具、あなたの質問にはいくつかの情報が欠けています...

  1. パスワードリセットリンクの有効期限が必要なのはなぜですか?

何がおかしいのか知ってる?私はシリコンバレーのテクノロジーの巨人から始めたばかりです。パスワードを変更する場合は、承認を受ける必要があります。そもそも私がそのように働いたことのある場所-他のすべての組織はパスワードポリシーに非常に敏感です。この場所は、ユーザーがパスワードを変更する必要がないため、攻撃された企業のトップ10に入る可能性があります。

どうして?

その他のテクノロジーとビジネス要件。

  1. では、パスワードリンクを期限切れにするという組織のビジネス要件は何ですか?結局のところ、そもそも質問をするための刺激/動機付け要因は何ですか?

2a。リスク分析を行いましたか?

この質問に対する正解または不正解はありますか?一部の組織では、有効期限が30分から24時間の範囲で実装されています。誰が一方が他方よりも上手にやっていると言うべきです.

今日のセキュリティの世界で完全に失われたものは、チェックリストの前に頭を悩ませるものです。それで、NIST、DISA、または他のアルファベットのスープが24時間の答えだと告げたら、あなたは盲目的にそれに従いますか?どうして?それで、あなたは自分が「NIST準拠」であると自慢するようになります(それが何であれ)。

私が人々にこれらの質問をしてそのような議論をするように努める理由は、敵ができるだけ簡単にnist.govに行くことができるからです。彼らが休憩をしているとき、彼らは彼らが攻撃を始めるとき何を期待するかについての考えの一部をすでに持っています。

1
MGoBlue93