¿Cuándo utilizaría la opción "la contraseña nunca caduca"?

9

Simplemente me pregunto cuándo debe configurar una cuenta de usuario para que la contraseña nunca caduque. ¿En qué cuentas es una buena idea?

windows-server-2008 password-management user-accounts

— Charkel
fuente

2

Cuando es mio En serio, nada es tan molesto como sentarse con la cabeza llena de ideas y luego verse obligado a pensar en frases estúpidas que le permitan memorizar su nueva contraseña. Entiendo la lógica detrás de la política y partes de mi cerebro están de acuerdo en que las contraseñas deben cambiarse regularmente y que las computadoras son buenas para hacer cumplir esto y todo, pero ... :)

— Simon Richter

@Simon Richter No estoy seguro de entender la razón detrás de la política. Obligar a los usuarios a cambiar sus contraseñas regularmente no hace nada más seguro (si alguien tiene acceso no autorizado a su contraseña anterior sin su conocimiento, podrían volver a aplicar cualquier técnica para obtener su nueva contraseña, es probable que tenga una fuerza comparable). Lleva a más usuarios a tomar notas físicas de sus contraseñas o a usar sistemas donde la nueva contraseña es predecible, especialmente para cuentas que se usan con poca frecuencia. Mejor aconsejar que hacer cumplir, el usuario debe asumir la responsabilidad.

— Lee Kowalkowski

La mayoría de las personas va a escribir sus contraseñas independientemente de cualquier política de caducidad, y una nota que simplemente se ha "perdido" no es una razón para cambiar la contraseña, ya que la nota debe estar en un lugar seguro, etc. Obligar a las personas usar una nueva contraseña de vez en cuando al menos invalidará todas esas contraseñas en publicaciones antiguas y olvidadas.

— Simon Richter

Realmente no entiendo cómo obligar a los usuarios a cambiar sus contraseñas debería ayudar. ¿A los usuarios les gusta revelar sus viejas contraseñas después de un tiempo? Supongo que ayuda si el atacante quiere permanecer bajo por un tiempo antes de lanzar un ataque, pero eso parece una pequeña ganancia poco probable.

— rjmunro

20

El único lugar donde puedo ver que está justificado es en las cuentas de servicio. Por lo general, no desea que la contraseña de una cuenta de servicio simplemente caduque, lo que podría provocar que todos los procesos que ejecuta la cuenta fallen. Las cuentas de usuario interactivas siempre deben tener contraseñas que sigan la política de contraseñas.

Debe asegurarse de que si configura las cuentas de servicio para que no caduquen, tiene buenos procesos para consultar estas cuentas y asegurarse de restablecer manualmente las contraseñas en algún intervalo. Existen estándares de cumplimiento en muchas industrias que obligarán a que todas las contraseñas de las cuentas se cambien en un intervalo específico.

— BoxerBucks
fuente

8

Los scripts automáticos pueden usarlo (me he encontrado con problemas en los sistemas donde las tareas programadas fallaban en silencio porque la contraseña del propietario había expirado). Obviamente, esto fue para servicios que no son de Internet.

— Cooperativas
fuente

3

Cuentas de servicio / utilidad.

— Chopper3
fuente

0

La única vez que usamos la opción "La contraseña nunca caduca" es en las cuentas de servicios. Utilizamos un sistema fuera de Active Directory para aprovisionar cuentas de usuario de AD y parte de él obliga a los usuarios a cambiar su contraseña cada 90 días. Si la opción no está marcada, se sabe que debe bloquear cuentas y romper cosas a las 2 am cuando se ejecuta el script.

— Techwrekfix
fuente

0

La principal son las cuentas de servicio, como se mencionó anteriormente, sin embargo, otra opción es para las cuentas que pueden tener un perfil de riesgo muy bajo combinado con un perfil de uso poco frecuente, por ejemplo, una cuenta que se registra una vez al año y que da acceso de solo lectura a algunos datos no críticos Si tuviera caducidad de la contraseña, el usuario escribiría la contraseña o usaría el servicio de asistencia para restablecer la contraseña cada vez.

No es la mejor práctica, pero si el riesgo es bajo, podría ser lo correcto en este ejemplo.

— Rory Alsop
fuente