Per non iniziare questa risposta con "dipende", inizierò questa risposta con:
Ci sono due modi per rispondere a questa domanda.
Secondo la tua opinione: gli amministratori sono anche utenti e operano sul piano di semplici mortali? Se sì, allora la logica del NCSC si applica anche agli amministratori. Gli amministratori sono una razza speciale e al di sopra della legge? Se lo accetti, allora dovrebbero applicarsi regole speciali. La precisione con cui queste regole speciali sono formulate dipende dall'organizzazione per l'organizzazione e non può essere fornita una risposta generica. Un'autorità superiore in un'organizzazione (ad esempio un team di sicurezza) deve dare un'occhiata al consiglio che viene fornito dal NCSC, quindi deve dare un'occhiata agli amministratori operativi e quindi formulare alcune regole.
Questo dipende interamente dal livello di fiducia verso l'autorità che stai citando. Ti fidi delle autorità superiori in generale? Se è così, allora sei fortunato. Perché nel mio (e in altri) opinioni il NCSC fornisce ottimi consigli sulla sicurezza IT ed è una fonte formidabile. Non ho letto la fonte che hai dato per intero, ma penso di averne compreso l'essenza. Se il NCSC non fa la differenza tra amministratori e utenti e altre autorità come NIST non fa altrettanto bene nei loro Pubblicazione speciale verso l'autenticazione e la gestione del ciclo di vita, perché dovresti?
Sì; anche gli amministratori non devono ruotare le loro password. Come amministratore le mie password sono completamente randomizzate e archiviate crittografate. Per me cambiare la mia password aggiunge solo la rotazione "segreta". Tuttavia, cambiando la mia password con un'altra password casuale non aggiungo alcuna sicurezza nel fatto che la password possa essere violata o meno. In realtà direi che se la tua password casuale corrente non è in un dizionario da qualche parte e poi una nuova password casuale che scegli, stai facendo il dado che anche la password non è in un dizionario da qualche parte e anche più difficile da decifrare; quindi ogni volta che cambi la password quando non c'è motivo per cui stai tirando i dadi la password potrebbe essere più difficile da decifrare.
NIST SP 800-63B concorda con me che ci crediate o meno:
Verifiers SHOULD NOT impose other composition rules (e.g., requiring mixtures of different character types or prohibiting consecutively repeated characters) for memorized secrets. Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.
Fondamentalmente, supponendo che la tua politica sulle password sia sufficientemente complessa, dovresti solo cambiare la password degli utenti se ne hanno voglia (preferenza personale) o forzarli se sospetti che il loro account sia stato compromesso.
Un altro motivo valido per non modificare la password regolarmente quando non è necessario è che i normali utenti utilizzeranno quasi sempre una semplice variante della password precedente. Ad esempio, se la loro password era mTpaGFrsYht12 , la rendono 1mTpaGFrsYht12 ; se il loro account fosse stato compromesso, qualsiasi strumento di cracking della password come john avrebbe scoperto quella nuova password "ruotata". Per non parlare del fatto che se qualcuno ha compromesso la rete e sta raccogliendo gli hash, ogni nuova modifica della password è un hash e quindi una nuova password che l'utente malintenzionato può archiviare nel proprio database e tentare di disconnettersi offline.
Il problema con le password nell'autorizzazione di sicurezza è password deboli , non password complesse con rotazione segreta debole.
Leggi altre domande sui tag password-policy