Por que avisar os usuários semanas antes de suas senhas expirarem? [fechadas]

1

No meu local de trabalho (e muitos outros me contaram), vários sistemas que exigem senha exigem que os usuários avisem todos os dias durante o período de duas semanas antes de suas senhas expirarem. O aviso consiste em uma caixa de diálogo que interrompe o processo de login com uma mensagem como "Sua senha expirará em 13 dias. Deseja alterá-la agora?" O aborrecimento e a ineficiência são óbvios: dados três sistemas que fazem isso, eu terei talvez trinta caixas de diálogo extras que eu cancelei em cada trimestre, mais todo esse tempo perdido porque o fluxo de trabalho usual de logar café, área de trabalho estará ativa quando eu voltar se transformar em login, tomar café, perceber que a caixa de diálogo está esperando, clicar em cancelar, reorganizar os brinquedos enquanto a área de trabalho aparece .

Mas não consigo entender o benefício. Existem estudos que demonstraram que isso melhora a segurança? Está havendo uma porcentagem de usuários que sucumbem e mudam de senha após 76 dias, em vez da expiração usual de 90 dias, uma melhoria real e, em caso afirmativo, por que não exigir que todos os usuários tenham que alterar suas senhas após 76 dias? Há casos comuns em que os usuários serão bloqueados se tiverem que alterar sua senha após a expiração? Tem que haver uma justificativa em algum lugar, mas eu simplesmente não estou vendo isso.

    
por bk. 08.10.2011 / 15:50

1 resposta

2

A solução fácil: altere sua senha assim que o aviso aparecer:)

A principal vantagem que vejo é que pode haver sistemas conectados ao banco de dados de contas central que não conseguirão fazer o login do usuário se a senha expirar, mas não tiverem como executar a operação de alteração de senha.

Este pode ser o caso de vários sistemas baseados na Web (por exemplo, web-mail), soluções de VPN, etc., o que significa que os usuários que tentam se conectar externamente não terão nenhuma chance de se conectar quando suas senhas expirarem.

Eu até experimentei problemas semelhantes com logins de sistema de vida longa que não avisavam os usuários ao expirar senhas e onde os usuários depois (após a senha expirar) tentavam se conectar aos serviços e não conseguiam. Divirta-se depurando estes ...

Então, minha sugestão seria reduzir o período de aviso, mas apenas desligá-lo se todos os sistemas conectados ao seu sistema de autenticação puderem manipular corretamente as senhas expiradas, educar seus usuários sobre o motivo do aviso e instruí-los a não espere até que a senha expire antes de realmente alterá-la.

    
por 08.10.2011 / 16:09