Как заставить пользователей менять свои пароли
Жизнь системного администратора не из легких. Поддержание целостности системы, обеспечение безопасности, устранение неполадок. Есть так много вращающихся тарелок.
Когда дело доходит до безопасности, вам нужно, чтобы пользователи выбирали надежный пароль, и вы должны периодически менять его.
В этом руководстве показано, как заставить пользователей изменить свой пароль с помощью команды изменения.
Периодическая смена паролей
Периодическую смену паролей сегодня запрашивают далеко не все службы, программы или сайты. В большинстве своем, это присуще различным интернет-кошелькам (например, Киви или Яндекс.Деньги). Вряд ли кто-либо из пользователе подобных ресурсов и, соответственно, электронных денег желает, чтобы его средствами воспользовались какие-то третьи лица. В связи с этим многие владельцы таких кошельков просто соглашаются на регулярную замену паролей. В настройках системы пользователь может изменить дату замены пароля. Например, она может потребовать через месяц, три месяца, пол года, год или вообще ее можно отключить.
Стоит отметить еще один немаловажный нюанс, который заключается в том, что злоумышленники в основном пользуются брутфорсом (один из методов взлома), а в том случае, если пользователь не менял пароль на каком-то аккаунте уже продолжительное время, то сделать это можно будет очень легко.
Как ограничить срок пароля для учетной записи Майкрософт
Если вы используете учетную запись Майкрософт, вы можете включить обязательную смену пароля раз в 72 дня. Срок для такой онлайн-аккаунта не меняется. Шаги для этого будут следующими:
После сохранения изменений пароль будет действовать лишь указанные 72 дня, после чего вам будет предложено изменить его на новый.
Как часто нужно менять пароль 2020?
Для обеспечения безопасности вашей учетной записи часто рекомендуется менять пароль, при этом некоторые компании применяют их каждые 1-3 месяца. Мы развеем этот миф и покажем вам, почему частая смена пароля не делает его более безопасным.
Вас просили сменить пароль несколько раз
Очистите кеш и удалите файлы cookie. Если вас постоянно просят сменить пароль, возможно, кто-то пытается войти в вашу учетную запись с помощью вредоносного ПО. … Обновите антивирусное программное обеспечение и используйте его для сканирования вашего компьютера.
Альтернатива
Microsoft пишет, что её базовые политики безопасности предназначены для использования хорошо управляемыми, заботящимися о безопасности предприятиями. Они также призваны служить руководством для аудиторов. Если такая организация внедрила списки запрещённых паролей, многофакторную аутентификацию, обнаружение атак с брутфорсом паролей и обнаружение аномальных попыток входа в систему, требуется ли периодическое истечение срока действия пароля? А если они не внедрили современные средства защиты, то поможет ли им истечение срока действия пароля?
Логика Microsoft на удивление убедительна. У нас два варианта:
- Компания внедрила современные меры защиты.
- Компания не внедрила современные меры защиты.
Во втором случае периодическая смена пароля бесполезна.
Таким образом, вместо срока действия пароля нужно использовать, в первую очередь, многофакторную аутентификацию. Дополнительные меры защиты перечислены выше: списки запрещённых паролей, обнаружение брутфорса и других аномальных попыток входа в систему.
«Периодическое истечение срока действия пароля является древней и устаревшей мерой защиты, — подводит итог Microsoft, — и мы не считаем, что для нашего уровня базовой защиты стоит применять какое-либо конкретное значение. Удаляя его из нашего базового уровня, организации могут выбирать то, что наилучшим образом соответствует их предполагаемым потребностям, не противореча нашим рекомендациям».
Где хранится пароль компьютера в Active Directory
Пароль хранится в объекте учетной записи компьютера в атрибутах unicodepwd (текущий пароль) и lmpwdHistory (предыдущий пароль). Отметка времени для этого обновления хранится в атрибуте pwdlastset в формате integer8.
Хочу отметить, что атрибуты unicodepwd (текущий пароль) и lmpwdHistory (предыдущий пароль) вы будите видеть в редакторе атрибутов, как пустые, это связано с безопасностью, и они так же неиндексируемые. Все скрыто от чужих глаз.
Когда DC получает запрос LDAP Modify для изменения этого атрибута (unicodepwd), он выполняет следующую процедуру:
- Если запрос Modify содержит операцию удаления, содержащую значение Vdel для unicodePwd, за которой следует операция добавления, содержащая значение Vadd для unicodePwd, сервер считает запрос, запросом на изменение пароля. Сервер декодирует Vadd и Vdel с помощью процедуры декодирования пароля, описанной далее в этом разделе. Vdel — это старый пароль, а Vadd — новый пароль.
- Если запрос Modify содержит единственную операцию замены, содержащую значение Vrep для unicodePwd, сервер рассматривает запрос как административный сброс пароля, то есть изменение пароля без знания старого пароля. Сервер декодирует Vrep с помощью процедуры декодирования пароля, описанной далее в этом разделе, и использует его в качестве нового пароля.
Чтобы операция смены пароля прошла успешно, сервер требует, чтобы пользователь (Компьютер) или объект inetOrgPerson, пароль которого изменяется, обладал правом доступа «User-Change-Password» на себя, и что Vdel должен быть текущим паролем на объект. Для успешного сброса пароля сервер требует, чтобы клиент обладал правом доступа «User-Force-Change-Password» к пользователю или объекту inetOrgPerson, пароль которого должен быть сброшен.
