在我的工作场所(我被告知许多其他人),几个需要密码的系统在密码到期前的两周内每天都会发出警告。 该警告包含一个对话框,该对话框以“您的密码将在13天内过期,您要现在更改吗?”等信息中断login过程。 令人烦恼和低效率是显而易见的:给定三个系统这样做,我可能会有三十个额外的对话框,我每个季度都取消了“取消”,再加上所有的时间丢失,因为通常的login,获取咖啡,桌面当我回来 login 时会起来 ,拿到咖啡,实现对话框在等待,打到桌面上时取消,重新排列桌面玩具 。
但我无法理解这个好处。 有研究表明这可以提高安全性吗? 有76%的用户在76天后屈服和改变了他们的密码,而不是通常的90天到期是一个真正的改进,如果是这样,为什么不要求所有用户在76天后更改密码呢? 是否有常见的情况下,如果用户过期后必须更改密码,则用户将被locking? 在某个地方必须有一个理由,但我只是没有看到它。
简单的解决scheme:popup警告后立即更改密码:)
我看到的主要好处是,可能有系统连接到中央帐户数据库,如果密码已过期,但无法自己执行密码更改操作,将无法login用户。
对于各种基于networking的系统(即networking邮件),VPN解决scheme等,这可能就是这种情况,这意味着当他们的密码过期时,尝试外部连接的用户将没有机会连接。
我甚至遇到类似的问题,长期居住的系统login没有警告用户在过期的密码和用户之后(密码过期后)试图连接到服务,不能这样做。 玩得开心debugging这些…
所以,我的build议可能是减less警告期,但是只有当所有连接到你的authentication系统的系统都能正确处理过期的密码时,才能closures警告期,告诉用户警告的原因,并告诉他们不要等到密码在实际更改之前已过期。