Por que avisar os usuários semanas antes de suas senhas expirarem? [fechadas]

Question

Por que avisar os usuários semanas antes de suas senhas expirarem? [fechadas]

#1 resposta do (2 votos)

1

No meu local de trabalho (e muitos outros me contaram), vários sistemas que exigem senha exigem que os usuários avisem todos os dias durante o período de duas semanas antes de suas senhas expirarem. O aviso consiste em uma caixa de diálogo que interrompe o processo de login com uma mensagem como "Sua senha expirará em 13 dias. Deseja alterá-la agora?" O aborrecimento e a ineficiência são óbvios: dados três sistemas que fazem isso, eu terei talvez trinta caixas de diálogo extras que eu cancelei em cada trimestre, mais todo esse tempo perdido porque o fluxo de trabalho usual de logar café, área de trabalho estará ativa quando eu voltar se transformar em login, tomar café, perceber que a caixa de diálogo está esperando, clicar em cancelar, reorganizar os brinquedos enquanto a área de trabalho aparece .

Mas não consigo entender o benefício. Existem estudos que demonstraram que isso melhora a segurança? Está havendo uma porcentagem de usuários que sucumbem e mudam de senha após 76 dias, em vez da expiração usual de 90 dias, uma melhoria real e, em caso afirmativo, por que não exigir que todos os usuários tenham que alterar suas senhas após 76 dias? Há casos comuns em que os usuários serão bloqueados se tiverem que alterar sua senha após a expiração? Tem que haver uma justificativa em algum lugar, mas eu simplesmente não estou vendo isso.

password security

por bk. 08.10.2011 / 15:50

1 resposta

Tags password security

O Apache registra 200 em vez de 404 FreeBSD netstat -di, Idrop vs Drop e drop count de NIC ou kernel?

score 2 · Answer 1

A solução fácil: altere sua senha assim que o aviso aparecer:)

A principal vantagem que vejo é que pode haver sistemas conectados ao banco de dados de contas central que não conseguirão fazer o login do usuário se a senha expirar, mas não tiverem como executar a operação de alteração de senha.

Este pode ser o caso de vários sistemas baseados na Web (por exemplo, web-mail), soluções de VPN, etc., o que significa que os usuários que tentam se conectar externamente não terão nenhuma chance de se conectar quando suas senhas expirarem.

Eu até experimentei problemas semelhantes com logins de sistema de vida longa que não avisavam os usuários ao expirar senhas e onde os usuários depois (após a senha expirar) tentavam se conectar aos serviços e não conseguiam. Divirta-se depurando estes ...

Então, minha sugestão seria reduzir o período de aviso, mas apenas desligá-lo se todos os sistemas conectados ao seu sistema de autenticação puderem manipular corretamente as senhas expiradas, educar seus usuários sobre o motivo do aviso e instruí-los a não espere até que a senha expire antes de realmente alterá-la.