Apa dasar pemikiran untuk usia kata sandi minimum?

Saya baru saja memiliki pengguna yang tidak dapat mengubah kata sandi di domain Windows 2008. Itu memberinya pesan samar tentang persyaratan kompleksitas meskipun dia yakin kata sandi pilihannya memenuhi mereka. Saya mengujinya sendiri dan mengkonfirmasi.

Sepertinya kata sandi terakhirnya telah ditetapkan terlalu baru per standar yang direkomendasikan oleh Microsoft untuk sesuatu seperti 10 hari jika saya ingat.

Dia meminta saya pertanyaan yang sangat bagus, yang saya tidak bisa menjawab: mengapa akan ada minimal usia sandi? Bagaimana ini bisa menguntungkan keamanan? Dia juga menunjukkan bahwa seseorang mungkin menemukan kata sandi mereka dikompromikan dalam periode 10 hari ini dan tidak dapat mengubahnya!

Akankah ada alasan yang sah untuk menegakkan minimum usia sandi?

Pertama, jawaban teknis:

Konfigurasikan usia kata sandi minimum menjadi lebih dari 0 jika Anda ingin memberlakukan riwayat kata sandi menjadi efektif. Tanpa usia kata sandi minimum, pengguna dapat menggilir kata sandi berulang kali hingga mencapai favorit lama.

http://technet.microsoft.com/en-us/library/cc779758(v=ws.10).aspx (Server 2003) http://technet.microsoft.com/en-us/library/hh994570(v= ws.10) .aspx (Server 2008 / Windows Vista Selanjutnya)

Jadi, itu alasan yang bagus untuk tidak menjadi 0. Selain itu, menurut artikel-artikel itu:

Default

1 pada pengontrol domain.

0 pada server yang berdiri sendiri.

Jadi, dengan kata lain, standarnya adalah minimum yang Anda butuhkan untuk dapat menegakkan riwayat kata sandi.

Sekarang, secara pribadi, saya tidak berpikir ada alasan keamanan yang valid untuk menegakkan usia kata sandi minimum tetapi mungkin ada beberapa alasan praktis / manusiawi. Misalnya, Anda dapat membatasi jumlah perubahan kata sandi untuk mengurangi jumlah panggilan "Lupa kata sandi". Saya bisa melihat ini praktis untuk siswa sekolah menengah, mungkin.

Akhirnya, perlu diingat bahwa batasan ini tidak berlaku untuk reset kata sandi manual dari dengan Active Directory Users & Computers. Jadi pengguna selalu dapat meminta bantuan Sysadmin jika mereka benar-benar perlu mengubah kata sandi mereka.

Alasan di balik usia kata sandi minimum adalah untuk mencegah pengguna kembali ke kata sandi lama mereka segera setelah perubahan kata sandi yang dipaksakan. Kebijakan ini paling baik digunakan bersama-sama dengan kebijakan "kata sandi riwayat" (mencegah pengguna menggunakan kembali nomor X terakhir dari kata sandi sebelumnya).

Usia kata sandi minimum juga dapat berfungsi sebagai langkah keamanan. Bagaimana jika peretas mengganti kata sandi segera setelah mereka membobol komputer?