Ci sono problemi di sicurezza con la registrazione che un utente ha cambiato la sua password? Sto già registrando ogni volta che un amministratore cambia la password di un utente a scopo di controllo, ma c'è un motivo per non avere un log quando ogni utente ha cambiato la sua password?
Modifica: risposte alle domande seguenti
What is your expected gain from this?
Principalmente forense. La possibilità di vedere chi (user_id di admin o self) ha cambiato la password nel caso in cui l'utente affermi di essere stato violato.
Non lo stiamo utilizzando per supportare qualsiasi schema di gestione della password come la modifica forzata della password o il rifiuto del riutilizzo della password.
Who would have access to these logs?
Amministratori di sistema e possibilmente un piccolo gruppo di supporto.
About what kind of accounts are we talking about?
Account utente su una piattaforma di e-learning, ovvero insegnanti e studenti.
Also, do you have password expiration rules?
No. Sto parlando dell'archiviazione quando è stato effettuato ogni cambio di password, non solo l'ultima modifica.
What info are you storing? (not actually asked but implied)
Stiamo memorizzando l'id utente dell'utente whos è stata cambiata la password, l'id utente dell'utente che sta facendo la modifica (potrebbe essere un amministratore o un insegnante studente), il tempo in cui la password è stata cambiata e l'URI utilizzato per cambiare la password.