我刚刚有一个用户无法在 Windows 2008 域上更改他的密码。尽管他确定自己选择的密码符合这些要求,但它向他传达了一个关于复杂性要求的神秘信息。我亲自测试并确认。
如果我记得的话,根据微软推荐的大约 10 天的默认设置,他的最后一个密码似乎是最近设置的。
他问了我一个很好的问题,但我无法回答:为什么会有最低密码使用期限?这如何合理地有益于安全?他还指出,人们可能会发现他们的密码在这 10 天内被泄露并且无法更改!
是否有任何正当理由强制执行最低密码使用期限?
AskOverflow.Dev
首先是技术回答:
http://technet.microsoft.com/en-us/library/cc779758 (v=ws.10).aspx(服务器 2003) http://technet.microsoft.com/en-us/library/hh994570(v= ws.10).aspx (Server 2008 / Windows Vista Onwards)
所以,这是它不为 0 的一个很好的理由。此外,根据这些文章:
因此,换句话说,默认值是您能够强制执行密码历史记录所需的最低限度。
现在,就我个人而言,我认为没有有效的安全理由来强制执行最低密码使用期限,但可能有一些实际/人为的原因。例如,您可以限制更改密码的次数以减少“忘记密码”呼叫的次数。也许我认为这对高中生很实用。
最后,值得牢记的是,这些限制不适用于通过 Active Directory 用户和计算机进行的手动密码重置。因此,如果用户真的需要更改密码,他们总是可以向系统管理员寻求帮助。
最短密码使用期限背后的基本原理是防止用户在强制更改密码后立即恢复到旧密码。此策略最好与“密码历史”策略一起使用(防止用户重复使用他们最后 X 个以前的密码)。
最短密码使用期限也可以作为一项安全措施。如果黑客闯入计算机后立即更改密码怎么办?