¿Por qué es necesario que los nuevos usuarios cambien la contraseña?

4

He notado que es una práctica común al configurar una cuenta de usuario (cuentas de usuarios de Windows y cuentas de usuarios de Google Apps en mi caso) exigir a los usuarios nuevos que creen su propia contraseña inmediatamente después de su primer inicio de sesión. Al buscar una respuesta a esta pregunta, he encontrado muchas publicaciones que explican cómo requerir que los nuevos usuarios cambien su contraseña, pero no puedo encontrar por qué por qué esto se considera "mejores prácticas." ¿Qué problemas se crean si genero y asigno una contraseña única a cada nuevo usuario y ellos no la cambian?

Para aclarar, no estoy preguntando por qué es una buena práctica exigir a los usuarios que cambien las contraseñas periódicamente. Mi pregunta es ¿cuáles son los riesgos si los usuarios nuevos siguen usando la contraseña que les puse en lugar de crear su propia contraseña?

Sería conveniente para mí que mantengan su contraseña inicial porque estoy en un entorno comercial más pequeño, y si conozco su contraseña puedo configurar Google Drive Sync y Google Apps Sync para ellos, en lugar de tener que escribir instrucciones para ellos sobre cómo hacer esto ellos mismos.

    
pregunta browly 23.10.2014 - 18:18
fuente

3 respuestas

8
  

Sería conveniente para mí que mantengan su contraseña inicial porque estoy en un entorno comercial más pequeño, y si conozco su contraseña puedo configurar Google Drive Sync y Google Apps Sync para ellos, en lugar de tener que escribir instrucciones para ellos sobre cómo hacer esto ellos mismos.

Esto es exactamente por lo que es una buena práctica exigirles que cambien las contraseñas después del primer inicio de sesión; Deben ser los únicos que conocen sus contraseñas. Elimina cualquier posibilidad de abuso administrativo, o la percepción de abuso, incluso si no existe ninguno. Además, es menos probable que las contraseñas que elijan se olviden y requieran restablecerse, o que se escriban donde puedan ser robadas y (nuevamente) abusadas.

Su segunda pregunta sobre los cambios de la contraseña del período ya se ha respondido en la siguiente pregunta: ¿Cómo se incrementa su contraseña cada 90 días? seguridad?

    
respondido por el Xander 23.10.2014 - 18:25
fuente
2

Al obligar a los usuarios a seleccionar su propia contraseña en el inicio de sesión inicial (la primera vez que se autentican), se asegura de que NADIE más sepa la contraseña de la cuenta una vez que se haya cambiado.

Este es un proceso de control llamado control único. Un solo control significa que un solo individuo mantiene un recurso o acceso a algo. Dado que la combinación de ID de usuario y contraseña se mantiene bajo el control único del usuario, refuerza la responsabilidad, ya que podemos identificarnos con bastante certeza quién ha iniciado sesión en qué y cuándo. Si la contraseña está comprometida (ya no está bajo el control único porque varias personas la conocen), entonces tenemos menos responsabilidad porque no podemos estar seguros de quién inició sesión con el ID de usuario / contraseña.

Las prácticas de control único también protegen a quienes no tienen acceso al recurso o credenciales en cuestión. Dado que no debe tener acceso a la información de la contraseña del usuario, lo mantendrá a salvo en caso de una infracción. Si no fuerza los cambios de contraseña, es posible que lo vean como sospechoso, incluso si no ha hecho nada por el estilo. EDITAR: (Esto se denomina exposición al riesgo, donde no seguir los resultados del proceso de control único en la exposición al riesgo adicional)

Es imperativo que apliquemos y mantengamos procesos de control para que todos permanezcan seguros y protegidos, y no los expongamos a nosotros mismos ni a riesgos innecesarios.

    
respondido por el Desthro 23.10.2014 - 18:32
fuente
-2

El cambio de contraseña inicial se usa principalmente para evitar el problema de la "contraseña predeterminada". Al configurar cuentas, especialmente una gran cantidad de cuentas, los administradores tienden a usar contraseñas como "changeme1", "changeme2", o contraseñas fáciles predeterminadas. Al requerir un cambio de contraseña, se elimina el "problema de contraseña predeterminado".

Si genera contraseñas aleatorias SEGURAS, puede deshabilitar con seguridad "Requerir cambio de contraseña inicial".

De todos modos, usted, como administrador, tiene acceso a las cuentas de usuario; en los sistemas Windows, por ejemplo, como administrador, Ejecute como cualquier otra cuenta con privilegios inferiores. Por lo tanto, no importa si corre como su compañero de usuario desde su cuenta de administrador, o si inicia sesión directamente en la cuenta del usuario. Usted tiene el mismo acceso a los archivos y elementos de todos modos. Así que el potencial de abuso y responsabilidad todavía existe. Ese potencial solo se puede evitar si se emplean buenos administradores; en otras palabras, un administrador debe ser un individuo de CONFIANZA que esté bien examinado (solicite una hoja informativa al especialista antes de emplear a su administrador).

En algunos esquemas de alta seguridad, se usa un sistema de inicio de sesión doble para el administrador, donde 2 administradores necesitan iniciar sesión de forma colectiva con sus propios nombres de usuario y contraseña dentro de un retraso de 30 segundos para dar acceso al administrador, para que puedan observarse entre sí así que nadie abusa de los derechos de administrador.

en estos sistemas, el administrador no debe conocer las contraseñas de los usuarios, ya que evitaría el doble sistema.

El único caso donde solo el usuario debe saber que la contraseña está en el sistema de 2 veces, O si hay algún cifrado al que solo el usuario debería tener acceso. Pero es bastante raro que los encriptados utilicen las credenciales de Windows, en lugar de que usen su propio cuadro de diálogo de inicio de sesión y sistemas propios.

    
respondido por el sebastian nielsen 24.10.2014 - 02:36
fuente

Lea otras preguntas en las etiquetas