Die Regel, nur eine Kennwortänderung pro Tag zuzulassen, bietet keine Sicherheit. Aber es kommt oft zusätzlich zu einer anderen Regel, die besagt, dass sich das neue Passwort von den n (im Allgemeinen 2 oder 3) vorherigen unterscheiden muss.
Die Regel für eine Änderung pro Tag ist ein Versuch, diese Trivialität zu vermeiden Perversion:
- Ein Benutzer muss sein Passwort ändern, da es sein Zeitlimit erreicht hat.
- Er ändert es in ein neues Passwort.
- Er wiederholt das Ändern Sie sofort die Anzahl der gespeicherten Passwörter minus eins.
- Er ändert sie sofort wieder in das ursprüngliche => Hurra, immer noch das gleiche Passwort, was eindeutig die erste Regel war, die zu verhindern versuchte ...
Ok, die Regel könnte sein, dass das mehrmalige Ändern des Passworts an einem einzigen Tag nicht die Liste der letzten Passwörter rollt. Leider ist Ersteres in vielen Systemen integriert, während Letzteres nicht ...
Anders gesagt, es ist nur ein Versuch, nicht kooperative Benutzer zu zwingen, ihr Passwort rechtzeitig zu ändern.
Nur eine triviale Wahrscheinlichkeitsanalyse nach Kommentaren, wonach es kein Sicherheitsproblem ist, Benutzern zu erlauben, ihr Passwort niemals zu ändern. Angenommen, Sie haben einen ziemlich ernsthaften Benutzer und das Risiko, dass sein Passwort an einem Tag kompromittiert wird, beträgt 1%. Unter der Annahme von ungefähr 20 Arbeitstagen pro Monat liegt das Risiko einer Gefährdung in einem Quartal bei ungefähr 50% (1- (1- 1/100) ^ 60). Und nach einem Jahr (200 Arbeitstage) erreichen wir 87%! Ok, 1% kann hoch sein und nur bei 0,1% pro Tag beginnen, nur einer von 1000, ziemlich vernachlässigbar, nicht wahr? Aber nach 1 Jahr (200 Arbeitstage) beträgt das Risiko eines Kompromisses fast 20% (18%, um ehrlich zu sein). Wenn es das Passwort für Urlaubsfotos ist, würde es mich nicht interessieren, aber für etwas Wichtigeres ist es wichtig.
Es bedeutet, dass es wichtig ist, Benutzer zu erziehen und sie die Regeln akzeptieren zu lassen, da wir alle wissen, dass Regeln leicht umgangen werden können und wenn ein Benutzer ihnen nicht zustimmt wird nicht kooperativ sein. Das Auffordern von Benutzern, ihr Kennwort regelmäßig zu ändern, ist jedoch eine grundlegende Sicherheitsregel, da Kennwörter kompromittiert werden können, ohne dass der Benutzer dies bemerkt. Die einzige Möglichkeit zur Schadensbegrenzung besteht darin, das (wahrscheinlich kompromittierte) Kennwort zu ändern.