На моем рабочем месте (и мне сказали, что многие другие) несколько систем, требующих пароля, предупреждают пользователей каждый день в течение двухнедельного периода до истечения срока действия их паролей. Предупреждение состоит из диалогового окна, которое прерывает процесс входа в систему с сообщением типа «Срок действия вашего пароля истечет через 13 дней. Вы хотите изменить его сейчас?» Раздражение и неэффективность очевидны: с учетом трех систем, которые это делают, у меня будет около тридцати дополнительных диалоговых окон, которые я нажимаю «отменить» каждый квартал, плюс все это время, потерянное из-за обычного рабочего процесса войдите в систему, получите кофе, рабочий стол будет включен, когда я вернусь превращается в войти в систему, выпить кофе, понять, что диалоговое окно ожидает, нажать «Отмена», переставить настольные игрушки, когда рабочий стол появится.
Но я не могу понять преимущества. Есть ли исследования, которые показали, что это улучшает безопасность? Является ли реальным улучшением некоторый процент пользователей, которые уступают и меняют свой пароль через 76 дней вместо обычного 90-дневного истечения срока действия, и если да, то почему бы не потребовать от всех пользователей изменить свои пароли через 76 дней? Существуют ли распространенные случаи, когда пользователи будут заблокированы, если им придется изменить свой пароль после истечения срока действия? Где-то должно быть оправдание, но я его просто не вижу.
Простое решение: смените пароль, как только появится предупреждение :)
Основное преимущество, которое я вижу, заключается в том, что могут быть системы, подключенные к центральной базе данных учетных записей, которые не смогут войти в систему, если срок действия пароля истек, но не имеют собственного способа выполнить операцию изменения пароля.
Это может быть в случае различных веб-систем (например, веб-почты), решений VPN и т. Д., Что означает, что пользователи, пытающиеся подключиться извне, не будут иметь возможности подключиться, когда их пароли истекли.
Я даже испытал аналогичные проблемы с долгоживущими входами в систему, которые не предупреждали пользователей об истечении срока действия паролей, и когда пользователи впоследствии (после истечения срока действия пароля) пытались подключиться к службам и не могли этого сделать. Удачи отладки этих ...
Итак, я предлагаю сократить период предупреждения, но отключать его только в том случае, если все системы, подключенные к вашей системе аутентификации, могут правильно обрабатывать просроченные пароли, и в противном случае проинформируйте пользователей о причине предупреждения и скажите им не ждать, пока срок действия пароля истек до его фактического изменения.