Sono abbastanza confuso su quale sia lo stato attuale nel 2017 per l'idea di scadenza / rotazione della password, in particolare per quanto riguarda le certificazioni di sicurezza come ISO, PCI, ecc. Continuo a leggere che la scadenza della password non è molto utile , ma ho trovato diverse diapositive dove sembra ancora essere parte delle politiche / regole (per ISO e PCI).
C'è una parte specifica che mi sembra un po 'innaturale, e questo è (supponendo che tu abbia una politica di password strong in atto, che abbiamo già) la necessità di memorizzare i vecchi hash delle password nel tuo database per impedire agli utenti dall'impostazione di una vecchia password quando la corrente scade.
Ho sempre (erroneamente) assunto che la scadenza si stava avvicinando al problema usando un angolo sociale, un modo per dire agli utenti che le password erano importanti. Quindi, la nuova password doveva essere diversa dalla corrente, ma senza verificare storicamente i record precedenti.
Ho avuto l'intuizione che questo non era sicuro, ma sembra che le grandi aziende lo usano per fornire suggerimenti sull'interfaccia utente (anche se penso che sia giusto presumere che queste organizzazioni possano avere un controllo molto migliore dei loro backup rispetto alle aziende più piccole, dove gli errori potrebbero essere più probabili).
Ho letto un articolo in cui sembra che il NIST non applicherà più la scadenza della password. Ad ogni modo, ora che il mio sistema ha una scadenza di password dovuta ai requisiti, pensavo che avrebbe avuto senso abbinare, in una certa misura, i requisiti presenti in queste certificazioni.
-
Qual è lo stato di scadenza / rotazione della password in queste certificazioni (ISO, PCI, ecc.) nel 2017 ?. Fa ancora parte di loro?.
-
Hanno come target / menzionato un numero / periodo di vecchie password che devi memorizzare ?.
Non ho accesso a nessuna documentazione originale poiché non siamo in alcun processo di adozione, ma sarebbe bene saperlo anche in generale.