В современных системах есть возможность заставить пользователя менять пароли через определённые промежутки времени и это реально помогает с точки зрения безопасности. Только недавно утекли пароли Yahoo, и база данных оказалась достаточно старой. Если бы пароли менялись хотя бы раз в год, толку от этой базы не было бы, потому что все пароли там уже старые.
В политике паролей очень часто делают так, чтобы пользователь выбирал хотя бы одну заглавную букву, одну маленькую, одну цифру и хотя бы один символ. Такая политика делает невозможным выбор пароля типа password.
Но я не видел политики на смену пароля. Я работал в PCI окружении с кредитными картами и даже там я мог каждые три месяца менять пароль и менять в нем только одну цифру. Я не мог использовать тот же самый пароль дважды, но мог менять его незначительно. Я не админ и не знаю, в Windows есть возможность настраивать политику, чтобы пользователи не выбирали новый пароль, который будет на 80% совпадать с предыдущим.
Я вчера затронул эту тему, и мне в ответ сказали, что Windows не может этого делать, ведь он не хранит предыдущий пароль и не может его сравнить с новым. Я согласен, что он не хранит его в чистом виде, есть только хэш, который необратим. Но подождите, при смене пароля я же указываю старый и новый в чистом виде. В этот момент Windows шифрует мой старый пароль, сравнивает его с тем, что хранится в базе, чтобы убедиться, что это я, и если так, то устанавливает новый пароль. В этот момент у ОС есть два пароля в чистом виде и кто мешает проверить на процент совпадения?
Если дома я каждый раз выбираю новые пароль, то на работе всегда менял и меняю только одну цифру. Мне впадлу запоминать каждый раз совершенно новый пароль, поэтому у меня он состоит из какой-то сложной последовательности с цифрой в конце. Каждые три месяца эта цифра просто увеличивается и никто не пытается меня остановить от такой глупости.
Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку пока еще никто не лайкал и ты можешь быть первым
"впадлу" -- жаргонное слово, режет ухо и глаз
Я то же цифры меняю)
Может это глупость, но что делать пользователю, если у него десяток учеток в различных системах и каждую надо регулярно менять, да еще, что б не совпадало с предыдущей. Это приведет к тому, что пользователь начнет все пароли записывать в файл, что бы потом их вспоминать. Это не лучше честно говоря.
Вместо записи паролей в файл можно пользоваться менеджерами паролей. Но это, наверное, будут делать только продвинутые пользователи.
У нас на Windows политика запрещает использовать предыдущие пороли, даже если ты использовал год назад.
Хотите найти еще что-то интересное почитать? Можно попробовать отфильтровать заметки на блоге по категориям.
Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю
Copyright © 2024 Михаил Флёнов. Тираж 1 штука. Отпечатано на ноутбуке. А за права отвечаю, или постараюсь.
А здесь еще и копирайт поставлю: Professional Web Development.
