Kapan Anda menggunakan opsi "kata sandi tidak pernah kedaluwarsa"?

9

Saya hanya ingin tahu kapan Anda harus mengatur akun pengguna sehingga kata sandi tidak pernah berakhir. Pada akun apa ini ide yang bagus?

Charkel
sumber
2
Ketika itu milikku. Serius, tidak ada yang menyebalkan seperti duduk dengan kepala penuh ide dan kemudian dipaksa untuk memikirkan kalimat bodoh yang memungkinkan Anda menghafal kata sandi baru Anda. Saya mengerti alasan di balik kebijakan dan bagian-bagian otak saya setuju bahwa kata sandi harus diubah secara teratur dan bahwa komputer pandai menegakkan ini dan segalanya, tapi ... :)
Simon Richter
@Simon Richter Saya tidak yakin saya mengerti alasan di balik kebijakan tersebut. Memaksa pengguna untuk mengubah kata sandi mereka secara teratur tidak membuat apa pun lebih aman (jika seseorang memiliki akses tidak sah ke kata sandi lama Anda tanpa sepengetahuan Anda, mereka dapat menerapkan kembali teknik apa pun untuk mendapatkan kata sandi baru Anda, kemungkinan memiliki kekuatan yang sebanding). Ini menyebabkan lebih banyak pengguna membuat catatan fisik kata sandi mereka, atau menggunakan sistem di mana kata sandi baru dapat diprediksi, terutama untuk akun yang jarang digunakan. Lebih baik untuk memberi nasihat daripada menegakkan, pengguna harus mengambil tanggung jawab.
Lee Kowalkowski
Mayoritas orang akan menuliskan kata sandi mereka terlepas dari kebijakan kedaluwarsa, dan catatan yang hanya "hilang" bukan alasan untuk mengubah kata sandi, karena catatan itu harus di tempat yang aman, dll. Memaksa orang untuk menggunakan kata sandi baru setiap kali setidaknya akan membatalkan semua kata sandi tersebut pada post-it lama dan terlupakan.
Simon Richter
Saya benar-benar tidak mengerti bagaimana memaksa pengguna untuk mengubah kata sandi mereka seharusnya membantu. Apakah pengguna suka mengungkapkan kata sandi lama setelah beberapa saat? Saya kira itu membantu jika penyerang ingin berbaring rendah untuk sementara waktu sebelum meluncurkan serangan, tapi itu sepertinya keuntungan kecil yang tidak mungkin.
rjmunro

Jawaban:

20

Satu-satunya tempat yang saya lihat dibenarkan adalah pada akun layanan. Biasanya Anda tidak ingin kata sandi akun layanan hanya kedaluwarsa yang dapat menyebabkan semua proses yang dijalankan akun gagal. Akun pengguna interaktif harus selalu memiliki kata sandi, ikuti kebijakan kata sandi.

Anda harus memastikan bahwa Anda memang mengatur akun layanan agar tidak kedaluwarsa bahwa Anda memiliki proses yang baik untuk menanyakan akun-akun ini dan memastikan Anda mereset kata sandi secara manual pada suatu waktu. Ada banyak standar kepatuhan di banyak industri yang akan mengharuskan semua kata sandi akun diubah pada beberapa interval tertentu.

BoxerBucks
sumber
8

Skrip otomatis dapat menggunakannya (Saya pernah mengalami masalah pada sistem di mana tugas yang dijadwalkan gagal gagal karena kata sandi pemilik telah kedaluwarsa). Jelas ini untuk layanan non-internet.

Koperasi
sumber
3

Akun layanan / utilitas.

Chopper3
sumber
0

Satu-satunya waktu kami menggunakan opsi "Kata Sandi Tidak Pernah Kedaluwarsa" adalah pada akun layanan. Kami menggunakan sistem di luar Direktori Aktif untuk menyediakan akun pengguna AD dan bagian dari itu memaksa pengguna untuk mengubah kata sandi mereka setiap 90 hari. Jika opsi tidak dicentang, maka sudah diketahui untuk mengunci akun dan memecah barang-barang pada jam 2 pagi ketika skrip berjalan.

Perbaikan Techwrek
sumber
0

Yang utama adalah akun layanan, seperti yang disebutkan sebelumnya, namun opsi lain adalah untuk akun yang mungkin memiliki profil risiko yang sangat rendah dikombinasikan dengan profil penggunaan yang jarang - misalnya akun yang masuk sekali setahun yang memberikan akses hanya baca ke beberapa data tidak kritis. Jika kadaluwarsa kata sandi, pengguna akan menuliskan kata sandi atau menggunakan meja bantuan untuk mengatur ulang kata sandi setiap waktu.

Ini bukan praktik terbaik, tetapi jika risikonya rendah itu mungkin hanya hal yang benar untuk dilakukan dalam contoh ini.

Rory Alsop
sumber