간단한 이유 때문에 응용 프로그램의 일정에 따라 암호를 변경하지 않아도됩니다. 암호를 더 세게 기억하므로 사람들이 어딘가에 적어 두거나 다른 방법으로 안전하지 않은 메모리를 사용하도록 유도 할 가능성이 큽니다.응용 프로그램 보안에서 사용자가 일정에 따라 암호를 변경해야합니까?
반대의 주장은 무엇입니까? 왜 다른 사람이을 더 안전하게 알고있는 암호 을 누군가가 변경하도록 강요합니까?
참고 : 이것은 의견과 논쟁에 열려 있기 때문에 커뮤니티 위키로 표시하고 있습니다. 그러나 기술 중심적 관심사이기 때문에 여기에 게시하는 것이 합리적이라고 생각합니다.
아무도 그 사실을 모르는 사람을 어떻게 알 수 있습니까? 다른 사람이 자신의 암호를 알고 있다는 것을 깨닫게 될 때 위험이 그렇게 크지는 않습니다.
원칙은 암호가 노출 될 경우 노출 기간을 제한한다는 것입니다.
암호가 손상 될 수있는 경우 영원히 시스템이 손상 될 수 있습니다.
암호를 30/90 일마다 사용하도록 설정하면 이전에 사용되지 않은 암호로 암호가 유출되면 해당 기간보다 안전 할 수 있습니다.
그 말은 - 나는 30 일 후에 암호를 변경해야하고, 심지어 90 일로 늘었을 때도 여전히 그것을 싫어했다.
@ shimms - 그 마지막 코멘트는 내 충동의 절반입니다.많은 암호에 대해 아마 맞을 것입니다. 그러나 복잡한 암호를 사용하고 완전한 기밀을 유지하며 보안과 관련하여 위험을 감수하지 않습니다. 그러나 나는 모든 사람들이 내가하는 것처럼 행동 할 것으로 기대할 수는 없다는 점을 염두에두고있다. 그래서 결국 사람들의 계정에있는 정보를 "재보호"하기 위해 암호 만료를 구현해야한다. –
암호 추측 프로그램이 암호를 알아내는 데 90 일이 걸리면 사용자가 적어도 90 일에 한 번씩 암호를 변경해야합니다.
변경되는 암호가 프로그램에서 다음에 나오지 않는다는 것을 어떻게 알 수 있습니까? 이제 89 일에 항상 암호를 변경할 수 있다면 ... –
누군가 누군가의 암호를 통해 시스템에 액세스 한 경우 다음 암호 변경을 통해 그 액세스 권한을 잃게됩니다. –
시스템의 보안을 강화하려면 두 가지 설정이 필요합니다. 예를 들어, 강력한 암호 (영숫자, 두 경우, 특수 기호) 또는 새 암호가 이전 암호 2 (3,4, n)와 같지 않아야합니다.
@Glorphindale - 감사합니다. 우리는 이러한 통제를 구현합니다. 내가 물어 보는 것은 단지 비밀번호 강제력이었다. –
돈이 있다면 SecureID과 같은 two-factor 솔루션을 사용할 수 있습니다. 그러면 긴 암호 수명 약점이 대부분 완화됩니다. SecureID가 너무 비싸면 응용 프로그램에 통합하는 데 도움이되는 다양한 언어로 several client libraries의 YubiKey이 있습니다.
귀하의 질문에 직접 대답하기는하지만, 비즈니스 관점에서 사용자가 암호를 주기적으로 변경하도록하는 가장 좋은 이유는 적절한 법률, 규정, 계약상의 의무 등을 준수하는 것입니다. 신용 카드 관련자는 PCI Data Security Standard입니다. 요구 사항을 따르지 않는 financial implications은 회사를 황폐화시킬 수 있습니다.
2FA SMS 또는 음성 통화를 사용하여 입력해야하는 임의의 토큰을 수신하는 것은 무료입니다. (예를 들어, Google에서이를 제공합니다.) –
질문에 대한 답변은 응용 프로그램에 포함 된 정보의 민감도에 따라 다릅니다. 민감도가 높을수록 제공해야하는 보안 수준이 높아집니다.
분명히 더 많은 보안은 일반적으로 유용성을 감소시킵니다. 귀하와 귀하의 고객은 요인의 균형을 맞추어야하고 다음은 기술적 인 해결책을 찾으십시오.
이것은 serverfault.com에 더 적합한 질문처럼 보입니다. – Gabe
글쎄, 선택 사항으로 만들면 적어도 아플 수는 없습니다. – Tower