¿Cuál es la razón para una edad mínima de contraseña?

11

Acabo de tener un usuario que no puede cambiar su contraseña en un dominio de Windows 2008. Le estaba dando un mensaje críptico sobre los requisitos de complejidad a pesar de que estaba seguro de que su contraseña elegida los cumplía. Lo probé yo mismo y lo confirme.

Parece que su última contraseña se configuró demasiado recientemente según un valor predeterminado recomendado por Microsoft de unos 10 días, si mal no recuerdo.

Me hizo una muy buena pregunta, que no pude responder: ¿por qué habría una edad mínima de contraseña? ¿Cómo podría esto razonablemente beneficiar a la seguridad? ¡También señaló que uno podría descubrir que su contraseña está comprometida dentro de este período de 10 días y no ser capaz de cambiarla!

¿Habría alguna razón válida para hacer cumplir una edad mínima de contraseña?

Kevin
fuente

Respuestas:

14

En primer lugar, una respuesta técnica:

Configure la antigüedad mínima de la contraseña para que sea superior a 0 si desea que la aplicación del historial de contraseña sea efectiva. Sin una edad mínima de contraseña, los usuarios pueden recorrer las contraseñas repetidamente hasta que lleguen a un viejo favorito.

http://technet.microsoft.com/en-us/library/cc779758(v=ws.10).aspx (Server 2003) http://technet.microsoft.com/en-us/library/hh994570(v= ws.10) .aspx (Server 2008 / Windows Vista en adelante)

Entonces, esa es una buena razón para que no sea 0. Además, de acuerdo con esos artículos:

Defecto

1 en controladores de dominio.

0 en servidores independientes.

En otras palabras, el valor predeterminado es el mínimo que necesita para poder aplicar un historial de contraseñas.

Ahora, personalmente, no creo que haya una razón de seguridad válida para hacer cumplir las edades mínimas de contraseña, pero podría haber algunas razones prácticas / humanas. Por ejemplo, puede restringir el número de cambios de contraseña para reducir el número de llamadas "Olvidé mi contraseña". Podría ver que esto es práctico para los estudiantes de secundaria, tal vez.

Finalmente, vale la pena tener en cuenta que estos límites no se aplican a los restablecimientos manuales de contraseñas con usuarios y computadoras de Active Directory. Por lo tanto, un usuario siempre puede pedir ayuda al administrador del sistema si realmente necesita cambiar su contraseña.

Dan
fuente
3

La razón detrás de la edad mínima de la contraseña es evitar que los usuarios vuelvan a su contraseña anterior inmediatamente después de un cambio forzado de contraseña. Esta política se utiliza mejor junto con la política de "historial de contraseñas" (evite que los usuarios vuelvan a utilizar su última X cantidad de contraseñas anteriores).

David
fuente
-2

La edad mínima de la contraseña también puede servir como medida de seguridad. ¿Qué pasa si el pirata informático cambió la contraseña inmediatamente después de que irrumpió en la computadora?

LZH
fuente
La edad mínima de la contraseña tiene poco o nada que ver con esto. Si el usuario puede cambiar su propia contraseña en algún momento, no está protegido de que un agente malintencionado cambie su contraseña. A menos que los usuarios se vean obligados a cambiar sus contraseñas cada n días, y no puedan cambiar antes de ese momento ... lo cual es tan draconiano que dudo que algún gerente de TI pueda justificarlo.
Corey