iT邦幫忙

2

AD密碼歷程記錄問題

active directory windows server password
wei_yu 2024-09-02 09:37:451111 瀏覽

  • 分享至 

  • xImage

各位前輩好,先前從Default Domain Policy中修改密碼歷程記錄(3),但近期已到了可以使用第一次設定密碼的時間,但多數User反映無法修改第一次設定的密碼,經測試後發現真的沒辦法,只能一直的使用未重複過的密碼,想請問各位前輩是否有此經驗?
環境:Windows server 2012

https://ithelp.ithome.com.tw/upload/images/20240902/20166651EJlCCPOf80.jpg

看更多先前的討論...收起先前的討論...
PIZZ iT邦新手 2 級 ‧ 2024-09-02 10:11:20 檢舉
近期可以用是指第四次修改密碼還是第五次?

如果是第四次就還沒到...第五次才能改第一次用的

因為第四次是這樣:123"4"(會保留前三(123))
第五次:234"5",1被清掉了,所以才能用第一次用過的

但這種重複使用"曾經使用過的密碼"其實不很安全就是......
froce iT邦大師 1 級 ‧ 2024-09-02 10:24:50 檢舉
樓上,像這樣要密碼複雜度要密碼強度還要不重複,到時就別怪人稽核的時候密碼紙條藏鍵盤下。
mathewkl iT邦高手 1 級 ‧ 2024-09-02 10:32:05 檢舉
要求太多就會物極必反,密碼就會變成符合最低要求但很好猜...
ming9900 iT邦新手 4 級 ‧ 2024-09-02 14:09:42 檢舉
要求密碼複雜度+不能重複3次,這已經是很基本的AD 帳號的資安需求了吧~
很多是3個月強制換密碼,五次不能重複

如果不要求複雜度,就有人會設 123456 這種密碼,而且萬年不換。
PIZZ iT邦新手 2 級 ‧ 2024-09-02 14:27:56 檢舉
什麼是ISO27001資通安全規則,有哪些呢?

使用者密碼需有一定之強度
(通常是8碼以上、密碼本身需有英文大小寫、數字、特殊符號三項的其中
2項組成需定時更換密碼(普級6個月更換一次,中級以上3個月更換一次),且密碼不可以前3代相同
sucksemil iT邦新手 1 級 ‧ 2024-09-03 09:35:29 檢舉
根據我詢問來稽核的會計師事務所人員,他公司內要求的是12碼以上
所以8碼真的很基本
froce iT邦大師 1 級 ‧ 2024-09-03 10:47:18 檢舉
> 這種重複使用"曾經使用過的密碼"其實不很安全就是......

我是想吐這句...
不管幾次以內不能重複,通常使用者不會每次都給你記一串新的密碼,一定是幾組密碼輪換。
你設定個5次不能重複,每兩個月換密碼,第一組要能重複使用是10個月以上。另外還有密碼強度要求。

這不是逼著使用者弄張列表記在紙本上?要不然就是密碼變更的時候麻煩點,變更個5次,最後還是用同一組密碼。

目前觀察下來3次、8碼算是最能接受的了。
WUcheap iT邦研究生 5 級 ‧ 2024-09-03 13:59:16 檢舉
重複使用曾經使用過的密碼其實不很安全?

除非洩漏密碼,不然對於壞人來說,終究他需要的是當下能通過驗證的密碼不是嗎?
我想壞人也不會有時間去研究過去的密碼

另外與其提高密碼複雜度,密碼長度更能提高破解的難度,重要的系統建議至少12碼以上
PIZZ iT邦新手 2 級 ‧ 2024-09-03 15:35:13 檢舉
重複不重複密碼這事,基本上要看每家公司的內規,還有要做到哪種程度和使用者的配合度

要方便就不安全,要安全就不方便,這是選擇題

如果你全部拿使用者怎樣怎樣所以那樣那樣,那內控的制度面根本就不需要去做了吧...反正使用者被限制到都覺得煩+不方便....

密碼保管這事也是個重點,現在應該很少人使用沒有生物辨識功能的手機了吧?手機沒有筆記軟體也可以下載,然後也可以把密碼記在裡面(這個比手寫便條紙安全些,你用Line KEEP當筆記用也可以,方法百百種)

然後還有種東西叫做"密碼管理工具",這Google都有提供了......

密碼複雜度這事嗎,最後一碼從0~9依序變更下去都可以用10次,到了以後在從密碼的頭碼/或其他碼開始從0~9改,這樣又有10次不重複,12碼你可以用幾次?

然後每3個月改一次,10次可以用2年半...12個位數可以到改退休了吧(?)

所以...不重複很難做到?(還沒算英文大小寫和符號耶...)

12碼中的6碼拿改密碼當日的西元年月日來用也可以用很多次了......


然後最重要的是還要定期去教育使用者相關的知識

還有就是,如果假設:"只有現在使用的密碼才是重點",那麼27001幹嘛要去管那個前三次用過的?
(它會這樣設計一定是有某種可能/潛藏的問題)
(現在使用的密碼的確是重點,因為可以登入嘛)

當然每個人有不同的想法,每個地方有不同的規範,也沒啥對錯,想吐便吐也OK
阿摔 iT邦新手 3 級 ‧ 2024-09-04 10:48:14 檢舉
細緻密碼原則優先於GPO 可以看一下有沒有設定了細緻密碼原則
fs910175 iT邦新手 5 級 ‧ 2024-09-13 14:16:31 檢舉
理想很豐滿,現實很骨感,密碼太難記最後就是寫紙條貼桌上 XD
登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友回答

立即登入回答
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22199
完賽人數
602
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙