Was ist der Grund für ein Mindestalter für ein Passwort?

11

Ich hatte gerade einen Benutzer, der sein Kennwort in einer Windows 2008-Domäne nicht ändern konnte. Es gab ihm eine kryptische Nachricht über die Komplexitätsanforderungen, obwohl er sicher war, dass sein gewähltes Passwort diese erfüllte. Ich habe es selbst getestet und bestätigt.

Es scheint, dass sein letztes Passwort zu kürzlich gemäß einem von Microsoft empfohlenen Standardwert von etwa 10 Tagen festgelegt wurde, wenn ich mich recht erinnere.

Er stellte mir eine sehr gute Frage, die ich nicht beantworten konnte: Warum sollte es ein Mindestalter für das Passwort geben? Wie könnte dies der Sicherheit angemessen zugute kommen? Er wies auch darauf hin, dass man möglicherweise feststellen könnte, dass das Passwort innerhalb dieser 10 Tage kompromittiert wird und nicht geändert werden kann!

Gibt es einen triftigen Grund, ein Mindestalter für das Passwort durchzusetzen ?

active-directory security password Kevin
quelle

Antworten:

14

Erstens eine technische Antwort:

Konfigurieren Sie das Mindestalter für Kennwörter auf mehr als 0, wenn Sie möchten, dass der Kennwortverlauf wirksam wird. Ohne ein Mindestalter für Kennwörter können Benutzer Kennwörter wiederholt durchlaufen, bis sie zu einem alten Favoriten gelangen.

http://technet.microsoft.com/en-us/library/cc779758(v=ws.10).aspx (Server 2003) http://technet.microsoft.com/en-us/library/hh994570(v= ws.10) .aspx (Server 2008 / Windows Vista ab)

Das ist also ein guter Grund dafür, dass es nicht 0 ist. Zusätzlich laut diesen Artikeln:

Standard

1 auf Domänencontrollern.

0 auf eigenständigen Servern.

Mit anderen Worten, der Standardwert ist das Minimum, das Sie benötigen, um einen Kennwortverlauf erzwingen zu können.

Ich persönlich glaube nicht, dass es einen gültigen Sicherheitsgrund gibt, um das Mindestalter für Kennwörter durchzusetzen, aber es könnte einige praktische / menschliche Gründe geben. Beispielsweise können Sie die Anzahl der Kennwortänderungen einschränken, um die Anzahl der Aufrufe "Passwort vergessen" zu verringern. Ich konnte sehen, dass dies vielleicht für Schüler praktisch ist.

Schließlich ist zu beachten, dass diese Grenzwerte nicht für manuelle Kennwortrücksetzungen von Active Directory-Benutzern und -Computern gelten. Ein Benutzer kann den Sysadmin also jederzeit um Hilfe bitten, wenn er sein Kennwort wirklich ändern muss.

Dan
quelle
3

Der Grund für das Mindestalter für Kennwörter besteht darin, zu verhindern, dass Benutzer unmittelbar nach einer erzwungenen Kennwortänderung zu ihrem alten Kennwort zurückkehren. Diese Richtlinie wird am besten zusammen mit der Richtlinie "Kennwortverlauf" verwendet (verhindern Sie, dass Benutzer ihre letzte X-Nummer der vorherigen Kennwörter wiederverwenden).

David
quelle
-2

Das Mindestalter für das Passwort kann auch als Sicherheitsmaßnahme dienen. Was ist, wenn der Hacker das Passwort sofort nach dem Einbruch in den Computer geändert hat?

LZH
quelle
Das Mindestalter für Passwörter hat damit wenig bis gar nichts zu tun. Wenn der Benutzer irgendwann in der Lage ist, sein eigenes Passwort zu ändern, ist er nicht vor einem böswilligen Agenten geschützt, der sein Passwort ändert. Es sei denn, die Benutzer werden gezwungen, ihre Passwörter alle n Tage zu ändern , und können diese nicht vor diesem Zeitpunkt ändern. Dies ist so drakonisch, dass ich bezweifle, dass ein IT-Manager dies rechtfertigen könnte.
Corey