我覺得這要說到大多公司很多系統沒有規劃兩層或三層式架構
連AP跟DB主機分成不同台的概念都沒有
更何況後面的資安規劃困難重重
DB主機暴露在只有單一網段的環境
那在改密碼的效益也不是那麼高的
像我遇到的ERP,就算主機名有取AP跟DB
實際上根本各自獨立運作DB,很多廠商也都亂搞
從網路架構大多就開始爛了 後面救不回來
AWS Secret Manager 可以解決你這問題
可以根據你的需求設定多久 rotate 密碼
其他我就不知道了,還請知道的大大告訴我XD
個人經驗談,如果是只放在MIS可以控管到安全網域內的話根本不用去改它,MIS要負責管理,不管是用Vlan或公司域內的方式均可,因為一般的使用者根本就進不來這個域內。
最外層使用者的密碼,才適用這原則去要求。
如果是ISO稽核提問,就照你們自己訂定的ISO文件規定及實際執行狀況回答。
率先提出密碼相關規定建議的NIST,在2017年就取消了定期修改密碼這項建議。當然行之有年,互相抄來抄去的資安規章,何時有人敢去動這條規定,也不知道是什麼時候的事了。
可以參考NIST的文件SP 800-63:Digital Identity Guidelines。
===治標不治本===
單純...只是要..達成"更新"..這個行為的話...
如果沒有卡控密碼重複的條件,單純只是為了符合稽核,
...直接變更成相同密碼,也是一種更新...至少密碼異動log時間變動呃..
以上真實事件...
真要解決,只能將用到密碼的config/server都開來換密碼,或是啟動重新架構的大工程..
祝您順利解決。