Quand utiliseriez-vous l'option «le mot de passe n'expire jamais»?

9

Je me demande simplement quand vous devez définir un compte utilisateur pour que le mot de passe n'expire jamais. Pour quels comptes est-ce une bonne idée?

Charkel
la source
2
Quand c'est à moi. Sérieusement, rien n'est aussi ennuyeux que de s'asseoir la tête pleine d'idées et d'être ensuite obligé de penser à des phrases stupides qui vous permettent de mémoriser votre nouveau mot de passe. Je comprends la raison d'être de la politique et certaines parties de mon cerveau conviennent que les mots de passe doivent être changés régulièrement et que les ordinateurs sont bons pour appliquer cela et tout, mais ... :)
Simon Richter
@Simon Richter Je ne suis pas sûr de comprendre la raison d'être de la politique. Forcer les utilisateurs à changer régulièrement leurs mots de passe ne rend rien de plus sûr (si quelqu'un a un accès non autorisé à votre ancien mot de passe à votre insu, il peut réappliquer n'importe quelle technique pour obtenir votre nouveau mot de passe, il est probable qu'il soit d'une force comparable). Cela conduit à plus d'utilisateurs de prendre des notes physiques de leurs mots de passe, ou d'utiliser des systèmes où le nouveau mot de passe est prévisible, en particulier pour les comptes qui sont rarement utilisés. Mieux vaut conseiller que faire respecter, l'utilisateur doit assumer la responsabilité.
Lee Kowalkowski
La majorité des gens vont écrire leurs mots de passe indépendamment de toute politique d'expiration, et une note qui a été simplement "perdue" n'est pas une raison pour changer son mot de passe, car la note doit être dans un endroit sûr, etc. Forcer les gens utiliser un nouveau mot de passe de temps en temps invalidera au moins tous ces mots de passe sur des post-its anciens et oubliés.
Simon Richter
Je ne comprends vraiment pas comment forcer les utilisateurs à changer leurs mots de passe est censé aider. Les utilisateurs aiment-ils révéler leurs anciens mots de passe après un certain temps? Je suppose que cela aide si l'attaquant veut rester faible pendant un certain temps avant de lancer une attaque, mais cela semble être un petit gain improbable.
rjmunro

Réponses:

20

Le seul endroit où je vois que cela se justifie est sur les comptes de service. En règle générale, vous ne voulez pas qu'un mot de passe de compte de service expire simplement, ce qui pourrait entraîner l'échec de tous les processus exécutés par le compte. Les comptes d'utilisateurs interactifs doivent toujours avoir des mots de passe conformes à la politique de mot de passe.

Vous devez vous assurer que si vous définissez des comptes de service pour ne pas expirer, vous disposez de bons processus pour interroger ces comptes et vous assurer de réinitialiser manuellement les mots de passe à un certain intervalle. Il existe des normes de conformité dans de nombreuses industries qui exigeront que tous les mots de passe de compte soient modifiés à un intervalle spécifique.

BoxerBucks
la source
8

Des scripts automatisés peuvent l'utiliser (j'ai rencontré des problèmes sur des systèmes où les tâches planifiées échouaient silencieusement parce que le mot de passe du propriétaire avait expiré). De toute évidence, il s'agissait de services non accessibles à Internet.

Coops
la source
3

Comptes de service / utilitaire.

Chopper3
la source
0

La seule fois où nous utilisons l'option «Le mot de passe n'expire jamais» est sur les comptes de services. Nous utilisons un système en dehors d'Active Directory pour provisionner les comptes d'utilisateurs AD et une partie de celui-ci oblige les utilisateurs à changer leur mot de passe tous les 90 jours. Si l'option n'est pas cochée, il est connu de verrouiller les comptes et de casser les choses à 2 heures du matin lorsque le script s'exécute.

Techwrekfix
la source
0

Le principal est les comptes de service, comme mentionné précédemment, mais une autre option est pour les comptes qui peuvent avoir un profil de risque très faible combiné à un profil d'utilisation peu fréquent - par exemple un compte qui est connecté une fois par an qui donne un accès en lecture seule à certains données non critiques. S'il avait une expiration de mot de passe, l'utilisateur devait soit l'écrire ou utiliser le helpdesk pour réinitialiser le mot de passe à chaque fois.

Ce n'est pas la meilleure pratique, mais si le risque est faible, ce pourrait être la bonne chose à faire dans cet exemple.

Rory Alsop
la source