Sì; anche gli amministratori non devono ruotare le loro password. Come amministratore le mie password sono completamente randomizzate e archiviate crittografate. Per me cambiare la mia password aggiunge solo la rotazione "segreta". Tuttavia, cambiando la mia password con un'altra password casuale non aggiungo alcuna sicurezza nel fatto che la password possa essere violata o meno. In realtà direi che se la tua password casuale corrente non è in un dizionario da qualche parte e poi una nuova password casuale che scegli, stai facendo il dado che anche la password non è in un dizionario da qualche parte e anche più difficile da decifrare; quindi ogni volta che cambi la password quando non c'è motivo per cui stai tirando i dadi la password potrebbe essere più difficile da decifrare.
NIST SP 800-63B concorda con me che ci crediate o meno:
Verifiers SHOULD NOT impose other composition rules (e.g., requiring mixtures of different character types or prohibiting consecutively repeated characters) for memorized secrets. Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.
Fondamentalmente, supponendo che la tua politica sulle password sia sufficientemente complessa, dovresti solo cambiare la password degli utenti se ne hanno voglia (preferenza personale) o forzarli se sospetti che il loro account sia stato compromesso.
Un altro motivo valido per non modificare la password regolarmente quando non è necessario è che i normali utenti utilizzeranno quasi sempre una semplice variante della password precedente. Ad esempio, se la loro password era mTpaGFrsYht12
, la rendono 1mTpaGFrsYht12
; se il loro account fosse stato compromesso, qualsiasi strumento di cracking della password come john
avrebbe scoperto quella nuova password "ruotata". Per non parlare del fatto che se qualcuno ha compromesso la rete e sta raccogliendo gli hash, ogni nuova modifica della password è un hash e quindi una nuova password che l'utente malintenzionato può archiviare nel proprio database e tentare di disconnettersi offline.
Il problema con le password nell'autorizzazione di sicurezza è password deboli , non password complesse con rotazione segreta debole.