「パスワードを無期限にする」オプションはいつ使用しますか？

9

パスワードの有効期限が切れないようにユーザーアカウントを設定する必要があるのはいつですかと思います。これはどのような理由で良い考えですか？

windows-server-2008 password-management user-accounts

— シャルケル
ソース

2

それが私のとき。真剣に、頭の中をアイデアでいっぱいにして、新しいパスワードを覚えさせる愚かな文章を考えさせられるほど、煩わしいものはありません。私はポリシーの背後にある理論的根拠を理解しており、私の脳の一部はパスワードを定期的に変更する必要があり、コンピューターはこれとすべてを実施するのが得意であることに同意しますが... :)

— Simon Richter

@サイモン・リヒター私はポリシーの背後にある理論的根拠を理解しているかどうかわかりません。ユーザーが定期的にパスワードを変更するように強制しても、安全性は向上しません（知らないうちに誰かが古いパスワードに不正にアクセスした場合、ユーザーは新しいパスワードを取得するための手法を再適用することができますが、同等の強度を持つ可能性があります）。特に、頻繁に使用されないアカウントの場合、パスワードを物理的にメモするユーザーが増えたり、新しいパスワードが予測可能なシステムを使用したりすることになります。実施するよりも助言する方が良いので、ユーザーは責任を負うべきです。

— Lee Kowalkowski、2011年

ほとんどの人は、有効期限ポリシーに関係なくパスワードを書き留めます。メモを安全な場所に保管する必要があるため、単に「失われた」メモはパスワードを変更する理由にはなりません。新しいパスワードを頻繁に使用すると、少なくとも古い忘れられたポストイットのパスワードがすべて無効になります。

— Simon Richter

ユーザーにパスワードの変更を強制することがどのように役立つかについて、私は本当に理解していません。ユーザーはしばらくして古いパスワードを明らかにしたいですか？攻撃者が攻撃を仕掛ける前にしばらく横になりたい場合に役立つと思いますが、それは少しありそうにない利得のようです。

— rjmunro

20

それが正当化されているのを見ることができる1つの場所は、サービスアカウントです。通常、サービスアカウントのパスワードが単に期限切れになり、アカウントが実行するすべてのプロセスが失敗する可能性はありません。対話型ユーザーアカウントでは、パスワードは常にパスワードポリシーに従う必要があります。

サービスアカウントが期限切れにならないように設定する場合は、これらのアカウントのクエリに関する適切なプロセスがあること、および一定の間隔でパスワードを手動でリセットすることを確認する必要があります。多くの業界では、すべてのアカウントパスワードを特定の間隔で変更することを義務付けるコンプライアンス基準があります。

— ボクサーバックス
ソース

8

自動化されたスクリプトがそれを使用する可能性があります（所有者のパスワードの有効期限が切れたために、スケジュールされたタスクが静かに失敗するシステムで問題が発生しました）。明らかに、これはインターネットに面していないサービス用でした。

— コープス
ソース

3

サービス/ユーティリティアカウント。

— チョッパー3
ソース

0

「パスワードを無期限にする」オプションを使用するのは、サービスアカウントのみです。Active Directoryの外部のシステムを使用してADユーザーアカウントをプロビジョニングし、その一部はユーザーに90日ごとにパスワードを変更することを強制しています。オプションがチェックされていない場合、スクリプトの実行時にアカウントをロックアウトして午前2時に何かを壊すことがわかっています。

— Techwrekfix
ソース

0

主なものは前述のようにサービスアカウントですが、別のオプションは、非常に低リスクのプロファイルとまれにしか使用されないプロファイルを組み合わせたアカウント用です。重要でないデータ。パスワードの有効期限がある場合、ユーザーはパスワードを書き留めるか、ヘルプデスクを使用して毎回パスワードをリセットします。

これはベストプラクティスではありませんが、リスクが低い場合は、この例で行うことをお勧めします。

— ロリー・アルソップ
ソース