各位前輩好,先前從Default Domain Policy中修改密碼歷程記錄(3),但近期已到了可以使用第一次設定密碼的時間,但多數User反映無法修改第一次設定的密碼,經測試後發現真的沒辦法,只能一直的使用未重複過的密碼,想請問各位前輩是否有此經驗?環境:Windows server 2012
已邀請的邦友 0 /5
如果是第四次就還沒到...第五次才能改第一次用的
因為第四次是這樣:123"4"(會保留前三(123))
第五次:234"5",1被清掉了,所以才能用第一次用過的
但這種重複使用"曾經使用過的密碼"其實不很安全就是......
很多是3個月強制換密碼,五次不能重複
如果不要求複雜度,就有人會設 123456 這種密碼,而且萬年不換。
使用者密碼需有一定之強度
(通常是8碼以上、密碼本身需有英文大小寫、數字、特殊符號三項的其中
2項組成需定時更換密碼(普級6個月更換一次,中級以上3個月更換一次),且密碼不可以前3代相同
所以8碼真的很基本
我是想吐這句...
不管幾次以內不能重複,通常使用者不會每次都給你記一串新的密碼,一定是幾組密碼輪換。
你設定個5次不能重複,每兩個月換密碼,第一組要能重複使用是10個月以上。另外還有密碼強度要求。
這不是逼著使用者弄張列表記在紙本上?要不然就是密碼變更的時候麻煩點,變更個5次,最後還是用同一組密碼。
目前觀察下來3次、8碼算是最能接受的了。
除非洩漏密碼,不然對於壞人來說,終究他需要的是當下能通過驗證的密碼不是嗎?
我想壞人也不會有時間去研究過去的密碼
另外與其提高密碼複雜度,密碼長度更能提高破解的難度,重要的系統建議至少12碼以上
要方便就不安全,要安全就不方便,這是選擇題
如果你全部拿使用者怎樣怎樣所以那樣那樣,那內控的制度面根本就不需要去做了吧...反正使用者被限制到都覺得煩+不方便....
密碼保管這事也是個重點,現在應該很少人使用沒有生物辨識功能的手機了吧?手機沒有筆記軟體也可以下載,然後也可以把密碼記在裡面(這個比手寫便條紙安全些,你用Line KEEP當筆記用也可以,方法百百種)
然後還有種東西叫做"密碼管理工具",這Google都有提供了......
密碼複雜度這事嗎,最後一碼從0~9依序變更下去都可以用10次,到了以後在從密碼的頭碼/或其他碼開始從0~9改,這樣又有10次不重複,12碼你可以用幾次?
然後每3個月改一次,10次可以用2年半...12個位數可以到改退休了吧(?)
所以...不重複很難做到?(還沒算英文大小寫和符號耶...)
12碼中的6碼拿改密碼當日的西元年月日來用也可以用很多次了......
然後最重要的是還要定期去教育使用者相關的知識
還有就是,如果假設:"只有現在使用的密碼才是重點",那麼27001幹嘛要去管那個前三次用過的?
(它會這樣設計一定是有某種可能/潛藏的問題)
(現在使用的密碼的確是重點,因為可以登入嘛)
當然每個人有不同的想法,每個地方有不同的規範,也沒啥對錯,想吐便吐也OK