web-dev-qa-db-ja.com

ユーザーがパスワードを変更できる回数をサイトが制限するセキュリティ上の理由はありますか?

ユーザーが必要なだけ頻繁にパスワードを変更できないようにするセキュリティ上の理由はありますか?このセキュリティポリシーをサイトで見つけましたが、なぜそれを強制しているのかわかりません。

私が想像できる理由の1つは、パスワード変更機能が「コストのかかる手順」であり、連続して複数回変更すると、サイトでDoSが引き起こされるか、パスワードが送信されるたびにメールを送信するメールサーバーに大量のトラフィックが発生する可能性があることです。変更されました。

他の理由は?

注:同様の質問がこちらにあります: 認証システムでパスワードの変更を防ぐために考えられる理由はありますか?

web-applicationpasswordspassword-policydenial-of-service
34
kinunt

このようなポリシーが設定されているreal理由は、デフォルトでポリシーが設定されているためです。これがActive Directoryの状況です。

  • パスワードは42日後に期限切れになります。
  • パスワードを変更するとき、(非管理者)ユーザーは24の以前のパスワードのいずれかを再利用できません。
  • ユーザーは、同じ24時間以内にパスワードを2回変更することはできません。

そのため、そうでないものを設定するには努力理解が必要になるため、このようなことは頻繁に発生します。ほとんどの人は至福の無知と怠惰の状態で自分の人生を歩み、システム管理者も例外ではありません。

3番目のプロパティの根拠(パスワード変更の24時間)が必要な場合、よく引用される理由は@bobinceが言っていることです:卑劣なユーザーが23のダミーパスワードを循環して初期パスワードに戻るのを防ぐためです。最初のルールと矛盾する(パスワードの再利用なし)。

もちろん、そのような規則は、ユーザーが「シーケンスパスワード」を使用することを妨げません:Password37、Password38、Password39 ...これは、パスワードの有効期限を強制する目的(すでに非常に疑わしい値である目的)をいくぶん無効にします。また、ユーザーが必要なだけパスワードを変更できないようにすることは、ユーザーがneeds必要なだけパスワードを変更できないことを意味します。ユーザーが shoulder surfer 誰が自分のパスワードを盗んだだけなのか、セキュリティを意識したユーザーは自分のパスワードをすばやく変更したいと考えています。その場合、それは非常に良い考えです。パスワードの変更に対するルールはそれを防ぐかもしれません。

37
Tom Leek

通常、これはパスワード履歴ポリシーと組み合わせて使用​​されます。たとえば、「最後の12個のパスワードを再利用することはできません」。最小変更期間がないと、パスワードを12回続けて変更して元のパスワードに戻すことで、これを回避できます。

かなり怪しい値のIMOです。

29
bobince

いいえ、パスワードの変更回数に制限を設けることには、賢明なセキュリティ上の理由はないと思います。実施する必要のある唯一の制限は、DoS試行を抑制するための高コストの操作に対する一般的な制限の一部です。

しかし、私が考えることができる1つの例外があります-時々パスワードの変更は本当に高価です。たとえば、大量のデータがユーザーのパスワードから導出されたキーで暗号化されている場合。パスワードが変更されたら、データを新しいパスワードで暗号化する必要があり、古い暗号化ファイルを削除してから、バックアップなどを介して伝達する必要があります。それでも、ユーザーのパスワードがいつ侵害されるかわからないため、非常に厳しい制限を設けることはお勧めできません。

※数値は任意です。

10
Adi