Wann würden Sie die Option "Passwort läuft nie ab" verwenden?

9

Ich frage mich nur, wann Sie ein Benutzerkonto einrichten sollten, damit das Passwort nie abläuft. Aus welchen Gründen ist das eine gute Idee?

windows-server-2008 password-management user-accounts

— Charkel
quelle

2

Wenn es meins ist. Im Ernst, nichts ist so ärgerlich, als sich mit einem Kopf voller Ideen hinzusetzen und dann gezwungen zu sein, an dumme Sätze zu denken, mit denen Sie sich Ihr neues Passwort merken können. Ich verstehe die Gründe für die Richtlinie und Teile meines Gehirns sind sich einig, dass Passwörter regelmäßig geändert werden sollten und dass Computer dies und alles gut durchsetzen können, aber ... :)

— Simon Richter

@ Simon Richter Ich bin mir nicht sicher, ob ich die Gründe für die Richtlinie verstehe. Wenn Benutzer gezwungen werden, ihre Passwörter regelmäßig zu ändern, wird nichts sicherer (wenn jemand ohne Ihr Wissen unbefugten Zugriff auf Ihr altes Passwort hat, kann er jede Technik erneut anwenden, um Ihr neues Passwort zu erhalten. Dies ist wahrscheinlich von vergleichbarer Stärke). Dies führt dazu, dass mehr Benutzer ihre Kennwörter physisch notieren oder Systeme verwenden, bei denen das neue Kennwort vorhersehbar ist, insbesondere für Konten, die nur selten verwendet werden. Besser zu beraten als durchzusetzen, sollte der Benutzer die Verantwortung übernehmen.

— Lee Kowalkowski

Die Mehrheit der Personen wird ihre Passwörter unabhängig von einer Ablaufrichtlinie aufschreiben, und eine Notiz, die lediglich "verloren" gegangen ist, ist kein Grund, ihr Passwort zu ändern, da sich die Notiz an einem sicheren Ort befinden muss usw. Erzwingen von Personen Wenn Sie von Zeit zu Zeit ein neues Passwort verwenden, werden zumindest alle diese Passwörter auf alten und vergessenen Post-its ungültig.

— Simon Richter

Ich habe wirklich kein Verständnis dafür, wie es helfen soll, Benutzer zum Ändern ihrer Passwörter zu zwingen. Geben Benutzer nach einer Weile gerne ihre alten Passwörter preis? Ich denke, es hilft, wenn der Angreifer vor dem Starten eines Angriffs eine Weile ruhig bleiben möchte, aber das scheint ein kleiner unwahrscheinlicher Gewinn zu sein.

— rjmunro

20

Der einzige Ort, an dem ich sehe, dass dies gerechtfertigt ist, sind Dienstkonten. Normalerweise möchten Sie nicht, dass ein Dienstkontokennwort einfach abläuft, was dazu führen kann, dass alle von diesem Konto ausgeführten Prozesse fehlschlagen. Bei interaktiven Benutzerkonten sollten Kennwörter immer der Kennwortrichtlinie entsprechen.

Sie müssen sicherstellen, dass Sie gute Prozesse zum Abfragen dieser Konten und zum manuellen Zurücksetzen der Kennwörter in bestimmten Intervallen haben, wenn Sie Dienstkonten so einstellen, dass sie nicht ablaufen. In vielen Branchen gibt es Compliance-Standards, die vorschreiben, dass alle Kontokennwörter in einem bestimmten Intervall geändert werden.

— BoxerBucks
quelle

8

Automatisierte Skripte können es verwenden (ich habe Probleme auf Systemen, auf denen geplante Aufgaben stillschweigend fehlschlagen, weil das Kennwort des Besitzers abgelaufen ist). Offensichtlich war dies für nicht mit dem Internet verbundene Dienste.

— Coops
quelle

3

Dienst- / Dienstprogrammkonten.

— Chopper3
quelle

0

Die Option "Passwort läuft nie ab" wird nur für Dienstkonten verwendet. Wir verwenden ein System außerhalb von Active Directory, um AD-Benutzerkonten bereitzustellen. Ein Teil davon zwingt Benutzer dazu, ihr Kennwort alle 90 Tage zu ändern. Wenn die Option nicht aktiviert ist, ist bekannt, dass Konten gesperrt und um 2 Uhr morgens unterbrochen werden, wenn das Skript ausgeführt wird.

— Techwrekfix
quelle

0

Das wichtigste sind, wie bereits erwähnt, Dienstkonten. Eine andere Option sind Konten, die ein sehr geringes Risikoprofil in Kombination mit einem seltenen Nutzungsprofil aufweisen können - beispielsweise ein Konto, das einmal im Jahr angemeldet ist und nur Lesezugriff auf einige Konten bietet unkritische Daten. Wenn das Kennwort abgelaufen wäre, würde der Benutzer entweder das Kennwort notieren oder den Helpdesk jedes Mal zum Zurücksetzen des Kennworts verwenden.

Es ist keine bewährte Methode, aber wenn das Risiko gering ist, ist es in diesem Beispiel möglicherweise genau das Richtige.

— Rory Alsop
quelle