问题
我经常与我的首席技术官进行辩论,通常是这样开始的……
CTO: My password expired, that should never happen.
Me : It's a security risk to never expire passwords.
CTO: It's a security risk to force passwords to be reset because users have bad habits.
Me : Yes but the security is in the user not the system, enforcing password expiry ensures the system is secure in the event of an unknown breach of the userbase.
这就提出了一个有趣的问题,我们俩主要不是系统管理员,而是我们需要为此应用策略的职位,但对于正确答案应该是什么并没有真正达成一致。
我的立场
如果您强制所有用户在 X 时间内更改密码,其中 X 是通过确定用于保护密码的算法强度以及(使用暴力)将原始值恢复为原始值的估计时间来计算的,则系统会更安全。原始密码。
CTO 的地位
强迫用户始终更改密码的行为会导致模式/****123 随着时间的推移“喜欢”模式或用户写下密码,这意味着用户的“坏习惯”对系统的风险比数据更大以某种更技术性的方式(例如通过暴力破解)受到损害。
所以我想知道
有什么方法可以证明无论天气如何,我们都应该根据一些行业最佳实践强制执行密码重置策略吗? …