El sistema evita cambiar la contraseña demasiado pronto después del cambio anterior [duplicar]

Navega tus respuestas
7

Hoy, cuando intento cambiar mi PIN de correo de voz, noté que el sistema tiene una regla que impide que los usuarios cambien su PIN de correo de voz demasiado pronto después del cambio de PIN anterior.

Esto fue con un popular sistema de telefonía de nivel empresarial.

Puedo pensar en varios inconvenientes para cualquier sistema que impone este tipo de restricción, por ejemplo. si sé que mi pin está comprometido, me gustaría cambiarlo de inmediato, y este tipo de restricción podría obstaculizar esa práctica, dependiendo del momento.

¿Cuáles serían las razones para implementar este tipo de política de "no puedo cambiar su contraseña con demasiada frecuencia"?

    
pregunta GWR 06.04.2018 - 15:55
fuente

3 respuestas

25

La razón principal por la que se implementa este tipo de política es emparejarse con una regla de reutilización de contraseña no válida / limitada y la caducidad de la contraseña, y evitar que el usuario omita la limitación de reutilización cambiando su contraseña el tiempo suficiente en una fila para que puedan seguir usando su viejo.

Digamos que tienes una política que prohíbe reutilizar las últimas 5 contraseñas, pero quiero mantener mi "p4ssw0rdverystronk", podría cambiarlo a "zxcvbn", "qwerty", "password1", "sefa_pass" "idonthaveanymoreidea" y vuelva a "p4ssw0rdverystronk" en unos minutos.

    
respondido por el Sefa 06.04.2018 - 16:17
fuente
5

Como dice Sefa en su respuesta, es para evitar la rotación de contraseñas -

Si una contraseña está comprometida, desea que los usuarios la cambien.

Por lo general, requerirá que un usuario no reutilice una contraseña que sea idéntica a la contraseña de acceso y contraseñas.

Los usuarios ingenuos encontrarán eso molesto y querrán mantener sus contraseñas ya memorizadas.

Los usuarios ingeniosos e ingenuos cambiarán su contraseña n veces, para que puedan volver a obtener su contraseña anterior.

Si establece una edad mínima para la contraseña (por lo general, alrededor de 1 día), se hace más difícil rotar todo el tiempo, en lugar de simplemente mantener su nueva contraseña.

Ergo, es más seguro establecer una edad mínima para la contraseña que no hacerlo, ya que salva a los usuarios de su propia ingenuidad.

En cuanto a su punto de "Sé que mi nueva contraseña está comprometida, pero la cambié. Ahora tengo una contraseña comprometida.", está en lo correcto, eso es un problema. Cuando se diseñó la recomendación de caducidad de la contraseña mínima, se creyó que esto representaba un riesgo menor que el que los usuarios regresaran a su contraseña anterior. Además, si un usuario sabe que su PIN actual está comprometido, es de esperar que se comunique con el administrador y se realice un reinicio forzoso.

    
respondido por el Adonalsium 06.04.2018 - 16:40
fuente
0

Otro factor que aún no se ha mencionado es que en algunos sistemas no hay una sola base de datos de contraseñas, sino que existen múltiples bases de datos que no siempre están en línea simultáneamente. Al cambiar la contraseña de uno, la nueva contraseña se propagará por todo el sistema durante un período de tiempo. Si bien los sistemas más nuevos no deberían tener problemas para garantizar que la emisión de múltiples solicitudes finalmente se mantendrá en todos los que tienen la contraseña más reciente, algunos sistemas anteriores tuvieron problemas y algunas políticas se establecieron de manera muy conservadora para garantizar que no haya nuevas contraseñas. la solicitud se podría emitir mientras que los cambios aún podrían estar "en vuelo".

    
respondido por el supercat 07.04.2018 - 01:38
fuente

Lea otras preguntas en las etiquetas

¿Todas las implementaciones de SSL / TLS son vulnerables al error Heartbleed? [cerrado] ¿Debería la CA o la cadena influir en la selección de intensidad de bits de un certificado secundario?