ZN13
2017-04-03 14:36:26 UTC
因此,我設法將服務密碼更改為“錯誤”密碼,為簡單起見,我們僅將其更改為不安全的密碼。
現在,我想將其更改為更多密碼。安全密碼,但我收到一條不錯的錯誤消息:
您輸入的密碼不符合最低安全要求。
考慮到有趣,這很有趣這個新密碼比上一個密碼使用更多的字母,更多的數字和更多的特殊字符。
我進行了一些研究,並發現我所使用的服務具有安全規則您必須等待24小時才能再次更改密碼。
我問我的提供商他們是否可以更改該鏈接的可接受答案,但是他們說他們不能這樣做,並且24小時等待是出於安全原因。
這是我的問題。
如何等待24小時再次更改密碼是安全的?使用戶等待一次才能再次更改密碼的利弊是什麼?
一般來說,我同意,聽起來很愚蠢。但是每種安全措施都應該是對特定威脅模型的響應,因此,它們可能會受到人們或攻擊者更頻繁地更改其密碼而構成的特定威脅。更有可能的是,當您更改密碼並且不希望更改時,他們會進行一些管理性的,非自動化的工作。更有可能的是,這是一種不好的做法,在某種程度上“經過歷史證明!!!!”。請參閱https://security.stackexchange.com/questions/139594/why-do-the-large-majority-of-big-organizations-have-known-bad-password-policie/139602#139602的答案
設置原始密碼後,服務提供商可以更新其密碼策略毫無意義。我已經在許多站點註冊,不再僅僅因為它包含6個小寫字母的符號而不再允許我使用當前使用的密碼。
““您只能每24小時更改一次密碼”,這是為了“用戶(希望)每天僅打擾我們的幫助台一次”
我認為這可以防止別人在您吃午飯時更改它,做很多不好的事情,以及在您不回來之前更改它。
@dandavis,您應該在下面提交完整答案的答案,以便我們對其進行投票。到目前為止,這是這裡提供的唯一非管理,非用戶相關的方案,並且是一個非常合理的方案。
@dandavis:但是,這種情況要求他們知道您的原始密碼,因此他們根本不需要更改它。
我當時以為@user2357112:會阻止某些通知/確認被推送,但是他們可能會看到有關註銷的其他錯誤,所以您是對的,這不是很好的理由。
每當您受到24小時等待時間的限制時,堆棧中就會有大型機或白痴。
在我工作過的組織中,這是為了防止人們繞過密碼歷史記錄要求。如果您不能重複輸入最後20個密碼,那麼人們顯然會反復進行20次迭代來重置其密碼,然後他們便可以將其重新設置為*“首選”密碼。
@music2myear的簡單解決方案是使密碼歷史記錄基於時間,而不是基於迭代。即“您不能再使用最近6個月內的任何密碼”,而不是“您不能再使用最近20個密碼中的任何一個”。
@dandavis首先使攻擊者從更改密碼中可以獲得什麼好處?如果我已經知道原始密碼,那麼我已經可以訪問。如果我試圖避免檢測,更改密碼會損害我的努力(如果他們嘗試登錄時會感到無聊,例如在午餐時間進行無聊的交談?)我看到的更改密碼的一個好處是,如果我的邪惡計劃會以某種方式被打斷所帶來的傷害要大於被檢測到的傷害(避免檢測只是次要目標)。