Quelle est la justification d'un âge minimum pour les mots de passe?

Je viens d'avoir un utilisateur incapable de changer son mot de passe sur un domaine Windows 2008. Cela lui donnait un message énigmatique sur les exigences de complexité même s'il était certain que son mot de passe choisi les respectait. Je l'ai testé moi-même et confirmé.

Il semble que son dernier mot de passe ait été défini trop récemment par défaut recommandé par Microsoft de quelque chose comme 10 jours si je me souviens bien.

Il m'a posé une très bonne question, à laquelle je n'ai pas pu répondre: pourquoi y aurait-il un âge minimum pour les mots de passe? Comment cela pourrait-il raisonnablement bénéficier à la sécurité? Il a également souligné que l'on pourrait découvrir que leur mot de passe était compromis au cours de cette période de 10 jours et ne pas pouvoir le changer!

Y aurait-il une raison valable d'imposer un âge minimum pour les mots de passe?

Tout d'abord, une réponse technique:

Configurez l'âge minimal du mot de passe à plus de 0 si vous souhaitez que l'historique des mots de passe soit efficace. Sans âge minimum pour les mots de passe, les utilisateurs peuvent parcourir les mots de passe à plusieurs reprises jusqu'à ce qu'ils atteignent un ancien favori.

http://technet.microsoft.com/en-us/library/cc779758(v=ws.10).aspx (Server 2003) http://technet.microsoft.com/en-us/library/hh994570(v= ws.10) .aspx (Server 2008 / Windows Vista et versions ultérieures)

C'est donc une bonne raison pour que ce ne soit pas 0. De plus, selon ces articles:

Défaut

1 sur les contrôleurs de domaine.

0 sur les serveurs autonomes.

En d'autres termes, la valeur par défaut est le minimum dont vous avez besoin pour pouvoir appliquer un historique de mot de passe.

Maintenant, personnellement, je ne pense pas qu'il existe une raison de sécurité valide pour appliquer les âges minimums des mots de passe, mais il pourrait y avoir des raisons pratiques / humaines. Par exemple, vous pouvez limiter le nombre de modifications de mot de passe pour réduire le nombre d'appels "Mot de passe oublié". Je pourrais voir cela être pratique pour les élèves du secondaire, peut-être.

Enfin, il convient de garder à l'esprit que ces limites ne s'appliquent pas aux réinitialisations manuelles de mots de passe avec les utilisateurs et ordinateurs Active Directory. Ainsi, un utilisateur peut toujours demander de l'aide au Sysadmin s'il a vraiment besoin de changer son mot de passe.

La raison d'être de l'âge minimum du mot de passe est d'empêcher les utilisateurs de revenir à leur ancien mot de passe immédiatement après un changement de mot de passe forcé. Cette stratégie est mieux utilisée avec la stratégie "historique des mots de passe" (empêcher les utilisateurs de réutiliser leur dernier nombre X de mots de passe précédents).

L'âge minimum du mot de passe peut également servir de mesure de sécurité. Que se passe-t-il si le pirate informatique a changé le mot de passe immédiatement après avoir fait irruption dans l'ordinateur?