Il sistema impedisce la modifica della password troppo presto dopo la modifica precedente [duplicato]

Naviga le tue risposte
7

Oggi quando provo a cambiare il mio pin della segreteria telefonica, ho notato che il sistema ha una regola che impedisce agli utenti di modificare il pin della voicemail troppo presto dopo la modifica del pin precedente.

Questo era con un popolare sistema di telefonia aziendale.

Posso pensare a diversi inconvenienti per qualsiasi sistema che impone questo tipo di restrizione, ad es. se so che il mio pin è compromesso, vorrei cambiarlo subito, e questo tipo di restrizione potrebbe ostacolare questa pratica, a seconda dei tempi.

Quale sarebbe il motivo / i per che implementa questo tipo di criterio "non si può cambiare la password troppo frequentemente"?

    
posta GWR 06.04.2018 - 15:55
fonte

3 risposte

25

Il motivo principale per cui questo tipo di politica è implementato deve essere associato a una regola di riutilizzo della password no / limitata e scadenza della password e impedire all'utente di ignorare la limitazione del riutilizzo cambiando la propria password abbastanza tempo in una riga in modo che possano continuare a utilizzare la propria vecchio.

Supponiamo che tu abbia una politica che vieta di riutilizzare le ultime 5 password ma voglio mantenere il mio "p4ssw0rdverystronk", potrei cambiarlo in "zxcvbn", "qwerty", "password1", "sefa_pass" "idonthaveanymoreidea" e torna a "p4ssw0rdverystronk" in pochi minuti.

    
risposta data 06.04.2018 - 16:17
fonte
5

Come dice Sefa nella loro risposta, è per impedire la rotazione della password -

Se una password è compromessa, vuoi che gli utenti la cambino.

In genere è necessario che un utente non riutilizzi una password di quanto non sia identica alle password pass n.

Gli utenti ingenui troveranno fastidioso e manterranno le loro password già memorizzate.

Gli utenti intelligenti e ingenui cambieranno la loro password n volte, in modo che possano tornare alla loro vecchia password.

Se si imposta un'età minima della password (in genere 1 giorno o giù di lì), diventa più difficile ruotare fino in fondo, piuttosto che semplicemente mantenere la nuova password.

Ergo, è più sicuro impostare un'età minima per la password che non farlo, perché salva gli utenti dalla propria ingenuità.

Per quanto riguarda il tuo punto di "So che la mia nuova password è compromessa, ma l'ho appena modificata. Ora sono bloccato con una password compromessa.", hai ragione - questo è un problema. Quando è stata elaborata la raccomandazione minima sull'età della password, si riteneva che questo fosse un rischio minore rispetto agli utenti che tornavano alla vecchia password. Inoltre, se un utente sa che il suo attuale PIN è compromesso, si spera che contatteranno l'amministratore e che venga eseguito un reset forzato.

    
risposta data 06.04.2018 - 16:40
fonte
0

Un altro fattore non ancora menzionato è che in alcuni sistemi non esiste un singolo database di password, ma ci sono invece più database che non sono sempre on-line contemporaneamente. Cambiando la propria password, la nuova password si propagherà nel sistema per un certo periodo di tempo. Anche se i sistemi più recenti non dovrebbero avere problemi a garantire che l'emissione di più richieste finisca per contenere chiunque abbia l'ultima password, alcuni sistemi più vecchi hanno avuto problemi e alcune politiche sono state impostate molto in modo conservativo per garantire che non ci sia una nuova password potrebbe essere richiesta mentre eventuali modifiche potrebbero ancora essere "in volo".

    
risposta data 07.04.2018 - 01:38
fonte

Leggi altre domande sui tag

Perché non vengono arrestati i deployer dei ransomware? [chiuso] Come sono possibili le credenziali del governo trapelate e qual è il punto?