Sollte ich meine Benutzer dazu zwingen, das Passwort alle n Tage / Wochen / Monat zu ändern?

19

Frage sagt alles. Wir entwerfen ein System, bei dem Sicherheit sehr wichtig ist. Eine der Ideen, die jemand hatte, war, die Benutzer dazu zu zwingen, alle 3 Monate das Passwort zu ändern. Ich gehe davon aus, dass es zwar sicherer ist, weil sich das Passwort häufig ändert, aber unsere Benutzer gezwungen sind, sich immer wieder geänderte Passwörter zu merken, und es einfacher macht, dass sie es irgendwo aufschreiben, um sich zu erinnern.

In der gleichen Idee ist es wirklich gut, Benutzer zu zwingen, ein sehr schwer zu erratendes Passwort zu verwenden. Erzwingen Sie die Verwendung von?% &% Und Kleinbuchstaben in Großbuchstaben. Ich weiß, es ist ziemlich mühsam, ein solches Passwort zu erfinden und es sich dann zu merken.

Andererseits möchten wir nicht, dass jemand 12345 verwendet.

So. Gibt es Whitepapers zu diesem Thema? Gute Übung?

Ich spreche von einer mit PHP erstellten Website. MySQL in einer Lampenumgebung, wenn sich etwas ändert.

mysql web-applications password Iznogood
quelle
Ich sehe jemanden, der über das Schließen dieses Themas abgestimmt hat. Ich denke, Passwortverwaltung ist sehr relevant für die Programmierung. Aber wenn die Community trotzt, sollte sie es gut schließen, wo soll ich das fragen? Superuser?
Iznogood
1
Ehrlich gesagt betrachte ich die Sicherheit des Kunden als sein Anliegen. Verwenden Sie auf jeden Fall SSL und andere Dinge, um die Verschlüsselung so zu halten, dass sie nicht abgehört werden kann. Wenn er jedoch "0" für ein Passwort verwenden möchte, ist dies seine eigene Schuld.
Versuchen Sie, Schnittstellen zu erstellen, mit denen Sie Implementierungen Ihrer späteren Entscheidungen vornehmen können. Eine Methode zur Überprüfung der Kennwortstärke (oder zur Feststellung, was mit dem Kennwort nicht stimmt), eine Methode zur Bewertung, ob es Zeit ist, es zu ändern oder wann es sein wird, und so weiter. Jetzt zurück "ok" und "muss nicht geändert werden" :) Später, wenn Sie Ihre Antwort von Serverfehler erhalten, haben Sie die Türen zu öffnen ...
Helios
2
@mathepic - "aber wenn er" 0 "für ein Passwort verwenden will, ist das seine eigene Schuld." - Ich stimme dem Konzept zu, aber in Wirklichkeit hat der Websitebesitzer eine gewisse Verantwortung. Wenn Sie bei Ihrer Bank "0" eingeben und Ihr Konto bereinigt ist, wird es zurückgesetzt, oder?
Tomjedrz
2
@mathepic Ich stimme überhaupt nicht zu. Vielleicht für Hotmail ist es die Schuld der Benutzer, aber wenn es ein privates System voller privater Informationen ist, ist es das Problem des Unternehmens, wenn es kompromittiert wird, weil irgendein Idiot "0" gewählt hat.
Iznogood

Antworten:

28

Ich denke, dass ich in der Minderheit bin (basierend auf meiner begrenzten Erfahrung mit IT-Abteilungen in Schule und Beruf), aber ich denke, dass verbindliche, zeitbasierte Richtlinien zum Ändern von Passwörtern im besten Fall wertlos und im schlimmsten Fall schädlich sind. Die Leute sind in der Regel sehr schlecht darin, gute Passwörter zu wählen und sie geheim zu halten. Richtlinien zum Ablaufen des Kennworts sollen dies verhindern, indem die Zeit begrenzt wird, in der ein Kennwort geknackt, sozial manipuliert oder gestohlen werden kann. Dies gelingt ihnen in der Praxis jedoch nicht, da sie die Benutzer vor allem dazu zwingen, ihr Kennwort fortlaufend neu zu lernen. Wenn Sie es Benutzern erschweren, ihre Passwörter in den Speicher zu schreiben, wählen viele von ihnen schwächere Passwörter und / oder schreiben ihre Passwörter an einen Ort, an dem neugierige Blicke sie finden können.

Wenn viele Benutzer gezwungen sind, ihr Kennwort regelmäßig zu ändern, wählen sie Kennwörter, die einem sehr erkennbaren Muster folgen, z [base string][digit]. Angenommen, ein Benutzer möchte den Katzennamen Fluffy als Kennwort verwenden. Sie könnten beginnen mit dem Passwort fluffy, dann ändern fluffy1, fluffy2, fluffy3und so weiter. In diesem Fall hilft die Richtlinie der Sicherheit nicht wirklich. Selbst wenn der Benutzer eine sicherere Basiszeichenfolge wählt als fluffyund sein Kennwort sicher gespeichert bleibt, trägt das einzelne Suffix-Zeichen, das sich alle paar Monate ändert, kaum dazu bei, Cracking- oder Social-Engineering-Angriffe abzuschwächen.

Siehe auch: Kennwortablauf als schädlich , ein kurzer Artikel (nicht von mir geschrieben), der meiner Meinung nach eine gute Einführung in diese Probleme bietet.

bcat
quelle
2
Sie können Ihren zweiten Punkt in Ihrer Passwortrichtlinie verhindern, indem Sie eine Diversifizierung von früheren Passwörtern verlangen.
Warner
@Warner: Wie würden Sie das sicher umsetzen? Sie sollten fast nie Passwörter speichern, ohne sie vorher zu haschen, und Sie fluffy1sollten einen ganz anderen Hash haben als fluffy2. Es ist leicht genug , damit die Benutzer die Wiederverwendung exakt gleiche Passwort, aber ich denke , das ist alles , was Sie tun können.
bcat
Konnte nicht mehr zustimmen ...
Antoine Benkemoun
1
@bcat, Sie können mit Sicherheit überprüfen, ob das neue Passwort eine einfache Abwandlung des alten Passworts ist. Im Fall des inkrementierenden Nummernsuffixes dekrementieren und inkrementieren Sie einfach das neue Passwortsuffix (falls es sich um eine Ziffer handelt) und vergleichen Sie seinen Hash mit den zuvor für diesen Benutzer gespeicherten Hashes. Sie können auch andere einfache Transformationsüberprüfungen vornehmen. Alles ohne Speichern von Passwörtern im Klartext.
MMCDOLE
1
@bcat: Linux verwendet diese Art der Überprüfung über PAM (Plug-in-Authentifizierungsmodul) und die Dienstprogramme, mit denen Benutzer ihre Kennwörter im System ändern können, fordern zuerst ihr aktuelles Kennwort an, damit es anhand des neuen Kennworts beurteilt werden kann.
syn-
14

Meine große Organisation (mehr als 15.000 Benutzer) hat im Herbst 2009 alle 120 Tage "Passwortänderungen" durchgeführt. Dies ist eine enorme Belastung für die IT und eine Verschwendung von Supportressourcen. Jedes Mal, wenn dieses 120-Tage-Fenster sich dreht, müssen Tausende von Benutzern ihr Passwort ändern .... was viele von ihnen entweder falsch machen und ihr Konto sperren .... oder den nächsten Tag vergessen. Unser Helpdesk wird mit Passwortanrufen überschwemmt, obwohl wir versucht haben, so viel wie möglich aus der Selbstbedienung herauszuholen.

Wenn Sie möchten, dass Ihre Benutzer / Kunden Sie hassen ... und Ihre IT-Mitarbeiter an vorderster Front Sie bei jeder Chance, die sie erhalten, in Schach halten ... implementieren Sie Kennwortänderungen.

Richtlinien zum Ändern von Passwörtern sind in manchen IT Manager-Anleitungen ein Kontrollkästchen, das Sie irgendwo buchen können ... und das wurde vor 15 Jahren geschrieben. Niemand in den Gräben, der die Richtlinie tatsächlich umsetzt oder unterstützt, wird Ihnen jemals sagen, dass dies eine gute Idee ist.

Ich habe mich hier für "Passphrasen" anstelle von Passwörtern ausgesprochen ... eine Menge Gutes, das getan hat ... das Licht am Ende des Tunnels war ein entgegenkommender Zug. :)

Eine Passphrase ist eine lange, fast nicht zu erratende Zeichenfolge, die leicht zu merken ist, wie "MyCatIsFromSpainAndICallHimElGato". Oder vielleicht eine Zeile aus einem Gedicht oder Lied.

Wenn du es wirklich schwierig machen willst, mit dem Fall zu brechen, Interpunktion hinzuzufügen, Einsen in ells, Ohs in Nullen, a in @ usw. zu ändern, aber denk dran ... .das ist der Schlüssel. Es gibt sogar Möglichkeiten, sie auszuwählen, damit sie leicht von Ihren Fingern auf die Tastatur gelangen. Sie springen also nicht zwischen den Händen herum oder mit UMSCHALTTASTEN und seltsamen Interpunktionen.

So...

  • Verwenden Sie lange Passphrasen.
  • Testen Sie sie intern auf Stärke.
  • Implementieren Sie "Single Sign-On" in Ihrer gesamten Infrastruktur, sodass Kunden es nur ein- oder zweimal am Tag verwenden müssen.
  • Niemals zwingen, es zu ändern.
  • Und erziehe, erziehe, erziehe über ihren richtigen Gebrauch.

Matt

EDIT: 24.08.2011 XKCD stimmt zu und sagte es besser als ich.

Matt Mencel
quelle
Es klingt wie ein gutes Argument dafür, dass die Benutzererziehung nicht fehlschlägt, nicht unbedingt im Vergleich zu Passwortrichtlinien. Kein Fehler von Ihrer Seite - jemand, der sich in der IT-Branche weiter oben befindet, hat die Dinge schlecht verpfuscht, denn die Ideen, die Sie aufgelistet haben, hätten jeder Mitarbeiter bei jeder Aufforderung zur Passwortänderung vorlegen sollen.
Kara Marfia
Single Sign-On sollte eigentlich der erste Punkt sein, es ist die Karotte, die den Benutzern einen Grund gibt, das Passwort zu lernen. Die Ablaufzeit sollte auch davon abhängen, wie oft der Benutzer das Kennwort verwendet. Ein Ablauf von 30 Tagen ist für ein täglich verwendetes System nicht unangemessen, bei einem früheren Arbeitgeber jedoch für dessen (Nicht-SSO-) Ausgaben-App (eine App, die nur die meisten Benutzer verwenden) Einmal im Monat eingeloggt) hatte eine 30-tägige Ablaufrichtlinie. Jeder, den ich kenne, klingelte jedes Mal beim Helpdesk, wenn er es benutzte!
GAThrawn
Single Sign-On ist unglaublich nützlich. Es hilft, die Anzahl der Kennwörter, die ein Benutzer wissen muss, drastisch zu reduzieren.
Anthony Giorgio
10

Meine persönliche Meinung ist, dass es unnötig und sogar kontraproduktiv ist . Ich habe auf meinem Blog rumgespielt, aber das kannst du dir ansehen, wenn du interessiert bist.

Kurz gesagt, es gibt zwei Gründe:

1. Wenn ein Benutzer gezwungen wird, sein Passwort ständig zu ändern, führt dies zu falschen Passwörtern.

Es wird keinen Mangel an anekdotischen Beweisen dafür geben, aber es ist sinnvoll, dass, wenn ich gezwungen bin, mich alle x Tage an etwas Neues zu erinnern, diese Dinge leicht zu merken und wahrscheinlich miteinander verwandt sind.

Benutzer entscheiden sich viel häufiger für "erratbare" Kennwörter wie "Jan2010" oder "Password05", wenn sie wissen, dass sie sich bald ändern müssen. Die Durchsetzung einer strengen Zeichenrichtlinie führt wahrscheinlich nur zu einem Ausrufezeichen oder einem vollständig geschriebenen Namen und nicht zu einer Abkürzung. Es gibt einen großen Unterschied zwischen einem technisch komplexen Passwort und einem, der nicht erraten werden kann.

2. Durch das Erzwingen regelmäßiger Kennwortänderungen werden Angriffe nicht verhindert, sondern nur das Risiko (und nicht viel) verringert.

Denken Sie darüber nach - wenn Ihr Passwort erraten oder auf irgendeine Weise entdeckt wird, wie lange würde ein Angreifer brauchen, um diese Informationen zu verwenden? Versetzen Sie sich in die Lage des Angreifers. Sie haben gerade ein Passwort entdeckt. Würden Sie sich nicht anmelden und sofort alle Informationen extrahieren, die Sie erhalten könnten, falls dies jemand herausfinden sollte? In 30 Tagen haben Sie bereits alles, was Sie wollen.

Meine Empfehlung:

  • Erzwingen Sie eine äußerst strenge Kennwortrichtlinie (z. B. 15 Zeichen mit oberen, unteren, Ziffern und Sonderzeichen, ohne englische Wörter> 3 Zeichen).
  • Lassen Sie den Benutzer niemals sein Passwort ändern. Wenn sie das Passwort auf ein Blatt Papier schreiben und es in ihrer Brieftasche aufbewahren müssen, ist das in Ordnung. Die Leute sind gut darin, Papierstücke zu sichern, aber nicht so gut darin, sich zufällige Zeichenfolgen zu merken.
Damovisa
quelle
+1 - Stimme größtenteils zu, obwohl ich 120 Tage oder 180 Tage Ablauf mag. Viel Glück dabei, eine "überaus strenge" Passwortrichtlinie in einer politischen Organisation am Leben zu erhalten.
Tomjedrz
"Die Leute sind gut darin, Papierstücke zu sichern" - wirklich? Sie müssen weitaus bessere Leute kennen als ich! Wenn ich früher Desktop-Support leistete, konnte man leicht auf den PC eines Benutzers gelangen, wenn dieser nicht da war, indem er einfach das Tagebuch aufnahm, das er auf seinem Schreibtisch liegen gelassen hatte, auf die Rückseite blätterte und dann das neueste Wort eintippte das Passwortfeld.
GAThrawn
Ich denke, es hängt von dem Stück Papier und ihrer Meinung ab, wie wichtig es ist. Würden dieselben Leute 50-Dollar-Scheine auf ihrem Schreibtisch liegen lassen? Ihre Kreditkarten? :)
Damovisa
4

Aus der Sicht eines Benutzers ist es unglaublich umständlich, mein Passwort zu ändern. Ich hasse es absolut, dies tun zu müssen, und werde Websites, die ich unbedingt benötige , nur widerwillig verwenden, wenn ich dazu aufgefordert werde, mein Passwort zu ändern.

Es gab auch einige Diskussionen darüber, ob dies wirklich eine gute Praxis ist, da einige Leute ihre Passwörter aufschreiben müssen, um sich an sie zu erinnern.

Sie könnten eines dieser Widgets implementieren, das den Leuten zeigt, wie stark (oder schwach) ihr Passwort ist, während sie es ausfüllen. Ich finde, dass diese (irgendwie) nützlich sind, obwohl ich nicht weiß, ob sie tatsächlich zu einem stärkeren Passwort führen Passwörter.


quelle
Nun, in diesem Fall ist es eine private Seite ohne Registrierungsformular. Benutzer sind Angestellte und müssen das System benutzen. Trotzdem stimme ich einer sehr hohen Sicherheit nicht unbedingt zu. Aber ich kann nicht alles entscheiden, was Sie sehen ..
Iznogood
3

Als Benutzer einer recht strengen Passwortrichtlinie ("sehr schwer zu erratende Passwörter" und Passwortänderungen gleichermaßen) bin ich der Meinung, dass nur das Hard-Password benötigt wird. Obwohl es ein bisschen dauern wird, bis sich Ihre Benutzer daran gewöhnt haben (insbesondere, wenn es sich um 12345-Benutzer handelt), sollten sie sich innerhalb einer Woche problemlos daran erinnern und es eingeben können.

Ich kann jedoch unangenehme Endbenutzer vorhersagen, wenn Sie über so starke Kennwörter verfügen UND diese zu Änderungen zwingen.


quelle
3

Unter dem Gesichtspunkt der IT-Administration sollten Sie am besten untersuchen, ob Ihre Anwendung die Single-Sign-On-Funktionen des vorhandenen Authentifizierungsschemas verwenden kann, das Ihre Kunden verwenden. Offensichtlich spielt Active Directory eine große Rolle, aber wenn Ihre Anwendung mit den Richtlinien funktioniert, die die IT vor Ort bereits konfiguriert hat, müssen Sie sich keine Gedanken über die Neuerfindung des Rads machen.

Da so viele Debatten darüber aufkamen, ob erzwungene Passwortänderungen eine gute Idee sind oder nicht (obwohl ich denke, dass dies Ihrer Hauptfrage zweitrangig war), dachte ich, dass Ihnen einige der Ideen und Links hier gefallen könnten . In den meisten Situationen, in denen Sie die Komplexität und den Zeitplan von Kennwörtern nicht durchsetzen, verfügen Sie möglicherweise auch über keinerlei Kennwörter. Die Art und Weise der Implementierung (Schulung, Managementunterstützung usw.) ist jedoch wichtiger, als ich betonen kann.

Kara Marfia
quelle
2

Das Ändern von Passwörtern kann dazu führen, dass der Benutzer sie notiert. Das ist laut Bruce Schneier keine so schlechte Idee ( http://www.schneier.com/blog/archives/2005/06/write_down_your.html ).

Ich würde sogar argumentieren, dass es manchmal eine gute Sache sein kann, wenn die Sicherheit die Benutzerfreundlichkeit beeinträchtigt, nur weil es den Benutzer daran erinnert, sicher zu handeln. In der Bank, in der ich arbeite, sind viele der vorhandenen Sicherheitsmaßnahmen Sicherheitstheater (z. B. Gesichtserkennung an der Tür, aber der Sicherheitsbeamte öffnet die Tür für Sie, wenn die Erkennung fehlschlägt). Obwohl diese Maßnahmen die Sicherheit nicht von sich aus verbessern, sind sie immer da, um uns daran zu erinnern, dass Sicherheit ein wichtiges Anliegen bei der Arbeit ist, dass ein gewisses Maß an Protokollierung und Überprüfung stattfindet und dass Sie ertappt werden, wenn Sie etwas "unsicheres" tun wird in Schwierigkeiten sein.

Dies gilt natürlich für die Sicherheit der Mitarbeiter einer Bank und möglicherweise nicht für die Benutzer Ihrer Website.

Guillaume
quelle
1

Sie sollten Ihre Benutzer zwingen, sich alle n Tage zu ändern, wenn Ihre Sicherheitsrichtlinie dies erfordert. Ich arbeite für eine staatliche Agentur, und dies ist eine Anforderung, die vom Büro des staatlichen Rechnungsprüfers durchgesetzt wird. Ich kann nichts dagegen tun, also muss ich Änderungen erzwingen.

Wenn Sie nicht durch Vorschriften dazu verpflichtet sind, Kennwortänderungen zu erzwingen, erzwingen Sie sie nicht. Stellen Sie sicher, dass die Kennwörter, die festgelegt werden, bestimmte Mindestanforderungen an die Komplexität erfüllen. Die Länge übertrifft die Komplexität bei den meisten Passwortsystemen, daher ist ein variabler Standard meiner Meinung nach der beste Fall. Sowie:

  • Kein Passwort darf weniger als 10 Zeichen lang sein.
  • Passwörter zwischen 10 und 25 Zeichen erfordern mindestens 3 Zeichensätze.
  • Passwörter zwischen 25 und 40 Zeichen erfordern mindestens 2 Zeichensätze.
  • Kennwörter mit mehr als 40 Zeichen können einen einzelnen Zeichensatz verwenden.

Die integrierten Komplexitätsschemata für Dinge wie Active Directory unterstützen diese Art von gestuften Systemen nicht. Wenn Sie Ihre eigene Umgebung zum Ändern von Passwörtern erstellen, können Sie solche Dinge tun. Da jede Verwendung der Umschalttaste die Wahrscheinlichkeit eines Fat-Finger-Ereignisses erhöht, kommt es bei langen Kennwörtern mit mehreren Zeichensätzen VIEL häufiger zu Ereignissen mit fehlgeschlagener Anmeldung, insbesondere während der Lernphase. Wenn Sie ein System zur Kontosperrung haben, kann dies ein großes Problem sein. Für die Person, die die 3. Zeile ihres Lieblingsgedichts (63 Zeichen!) Als Passphrase verwendet und nicht h @ x0r muss, ist die Eingabe schnell und effizient.

Sollte sich die Technologie oder das Risiko erheblich ändern und Ihre Passwörter sind jetzt nicht mehr so ​​komplex wie sie sein sollten, stellen Sie sicher, dass Passwörter über einen bestimmten Zeitraum hinweg verfallen. Die Leute werden über die Notwendigkeit meckern, besonders wenn Sie noch nie eine Änderung erzwungen haben, aber es wird Ihnen helfen, Ihre Sicherheitslage aufrechtzuerhalten.

sysadmin1138
quelle
Ich habe das Glück, dass ich mich davon nicht einschränken lassen kann. Vielen Dank!
Iznogood
0

Schwer zu erratende Passwörter sind eine gute Sache. Das Erzwingen von Komplexitätsstufen, die dazu führen, dass Benutzer ihre Kennwörter vergessen oder aufschreiben müssen, ist eine schlechte Sache, da die durch die Komplexität gewonnene Sicherheit dabei vollständig verloren geht. In einer idealen Welt (in der wir leider nicht leben) sollte es einen Kompromiss zwischen Komplexität und Benutzerfreundlichkeit geben. Natürlich werden verschiedene Menschen diesen Gleichgewichtspunkt an verschiedenen Orten sehen.

Die Logik hinter dem regelmäßigen Ändern von Passwörtern in X Tagen ist für mich ein wenig verloren. Der Grund, warum ich dies normalerweise höre, ist, die Nützlichkeit eines gestohlenen Passworts zu begrenzen, worauf ich antworte, dass ein realer Schaden mit ziemlicher Sicherheit sowieso innerhalb der ersten Stunden verursacht wird. zB Fred "macht sich mit" Marys Passwort "bekannt. Welchen Unterschied macht es, wenn das Kennwort morgen oder nächsten Monat geändert wird, es sei denn, Mary ändert es fast gleichzeitig? Ist es wirklich wahrscheinlich, dass Fred noch ein oder zwei Wochen warten wird, bevor er das Passwort verwendet (vorausgesetzt, das war die ganze Zeit die Absicht)?

Das offensichtliche Ändern von Passwörtern, wenn ein Grund oder der Verdacht besteht, dass dies erforderlich sein könnte, ist eine ganz andere Sache.

John Gardeniers
quelle
0

Wenn die Anwendung ein so hohes Maß an Sicherheit benötigt, haben Sie überlegt, so etwas wie SecurID-Token zu verwenden? Dies bedeutet, dass der Benutzer alle 60 Sekunden ein neues Passwort erhält. Sie müssen sich keine Sorgen machen, wenn Sie Passwörter aufschreiben. Diese kosten jedoch Geld. Wie sicher muss die Lösung sein?

Mitch Miller
quelle
ziemlich sicher, aber ich frage mich, ob es so sicher sein muss. Überprüfen Sie den Link aus, danke!
Iznogood
0

Ich denke, dass Informationen für die Benutzer wichtig sind. Erklären Sie ihnen, wie sie ein Kennwort erstellen und wie wichtig es ist, dass nicht zweimal dasselbe Kennwort verwendet wird. Ein einfacher Weg, um ein Passwort zu erstellen, besteht darin, einen Satz und den ersten Buchstaben in jedem Wort zu nehmen und einige Zahlen hinzuzufügen.

Ex. Ich regiere gerne die Welt = Iltrw99

Zwingen Sie sie nicht, das Passwort zu ändern, da dies sie nur verwirren wird.

NiklasS
quelle
0

Ich bin zwar nicht damit einverstanden, dass Passwörter alle drei Monate geändert werden, aber dies ist eine Voraussetzung, wenn Ihr Unternehmen an der Börse gehandelt wird und Teil der SOX-Konformität ist. Randnotiz: Sarbanes-Oxley saugt.

Supercereal
quelle
0

Was ich nicht erwähnt habe, ist der externe Zugriff auf Ressourcen.

Ich stimme eher zu, dass, wenn Sie eine vernünftige Kennwortrichtlinie wählen, niemand dieses Kennwort erraten kann, es sei denn, jemand schreibt es auf.

Angenommen, Sie haben Webmail-Zugriff außerhalb der Website. Jetzt können Benutzer ihre Anmeldeinformationen auf "jedem alten PC" und IMO eingeben, was das Risiko für Ihre Geschäftsdaten erhöht, das durch Spyware / Malware / Trojaner usw. verursacht wird, die diese Kennwörter möglicherweise abfangen / stehlen .

schwimmfähig
quelle
Sehr guter Einblick danke! Ich frage mich, wie wir uns davor schützen können. Wir werden Firefox / Chrome erzwingen und IE6-7-8 bloqen, damit das so ist.
Iznogood
-1

Wenn Leute einfache Passwörter aufschreiben, denken Sie dann, dass sie keine große Passphrase oder ein sehr kompliziertes Passwort aufschreiben. Inkrementelle Kennwortänderungen führen dazu, dass Benutzer-IDs gelöscht werden, die nicht mehr automatisch verwendet werden, und der einzelne Benutzer kann diesbezüglich eine gewisse Verantwortung übernehmen. Menschen werden Menschen sein, die nach einem einfachen Weg suchen, um etwas zu erreichen. wiederholte Passwörter und inkrementell geänderte Passwörter können erkannt und abgelehnt werden. Komplexitätsanforderungen können durchgesetzt werden, erzwungene Kennwortänderungen können auch die Augen von Nicht-IT-Benutzern für ihre Verantwortung öffnen. Die meisten Benutzer, die sich über die Passwortänderung beschweren, sind die Faulen, die so tun, als ob sie ihr Passwort ändern, was einer Operation am offenen Herzen gleicht. Hör auf zu jammern, sei verantwortlich und versuche nicht länger, eine einfache Straße zu finden.

Tai
quelle
Ich finde eine "riesige Passphrase" viel, viel leichter zu merken als ein "einfaches Passwort". Es gibt sogar einen berühmten xkcd-Comic , also bin ich mir ziemlich sicher, dass ich nicht alleine bin.
Michael Hampton