Nachdem ich hier einige Themen zum Ablauf des Passworts gelesen hatte und diesen Kommentar gelesen hatte, stellte sich mir die Frage: Wenn wir den Passwortablauf zur Sicherheit der Benutzer anwenden, sollten unsere Die Schlüssel der Türschlösser verfallen ebenfalls?
Mit Türschloss meine ich jeden physischen Restriktionszugriff, den wir möglicherweise haben, z. B. Schlösser an der Tür des Serverraums Bei Gebäudeeinträgen des Unternehmens (einschließlich der Hintertür für Feuerwehrleute oder so), Tresoren usw.
Bei Türschlössern mit physischem Schlüssel würde dies bedeuten, dass alle X Monate / Tage / ein neuer Metallschlüssel ausgestellt wird. Wie auch immer, holen Sie den alten Schlüssel zurück und geben Sie den Benutzern den neuen Schlüssel (vorausgesetzt, sie dürfen die Tür noch öffnen). Klingt ziemlich schwer und komplex, könnte aber gegen kopierte Schlüssel oder so helfen.
Bei elektronisch basierten Türschlössern würde dies bedeuten, dass neue Passwörter / Schlüsselzugriffe neu ausgestellt werden, damit die RFID / Welche Karte auch immer ein Upgrade mit dem neuen Zugangsschlüssel benötigen würde. Klingt leichter, obwohl immer noch alle Mitarbeiter, die Zugriff haben, das Upgrade auf die eine oder andere Weise durchführen dürfen. Hier gehe ich davon aus, dass die elektronische Karte irgendwie ein "Sitzungstoken" enthält, keine sich ständig ändernde Benutzer-ID, die die Sperre mit einer Datenbank zulässiger Benutzer vergleichen würde (in einem solchen Fall würde die Benutzer-ID selbst sowohl auf der Karte als auch in der Datenbank benötigt gedreht werden).
Wird eine solche Richtlinie in einigen Unternehmen, Standards usw. angewendet, oder ist es nur eine blöde Idee, die ich hatte?
Bearbeiten:
IMO, es scheint in der Tat ein ziemlich schwerer Prozess zu sein (mehr, was Sie tun, nachdem Sie wissen, dass ein Schlüssel kompromittiert wurde), aber vielleicht kennen Sie risikoreiche Unternehmen oder bestimmte Unternehmen, die eine solche Rotation durchführen? Aus welchen Gründen (wenn beide nicht vertraulich sind!)?