什么是密码最小年龄的基本原理?

我刚刚有一个用户无法更改他的Windows 2008域上的密码。 尽pipe他确定自己select的密码正在与他们见面,但却给了他一个关于复杂性要求的神秘信息。 我自己testing并确认。

如果我回想起来,似乎他的最后一个密码是最近设置的,如果是微软推荐的10天的默认值。

他问我一个很好的问题,我不能回答:为什么会有一个最小的密码年龄? 这怎么可能合理地有利于安全? 他还指出,在这10天内可能会发现自己的密码被泄露,无法修改!

是否有任何有效的理由来执行最低密码年龄?

首先是技术答案:

如果要强制密码历史生效,请将密码最短使用期限configuration为大于0。 没有密码最小年龄,用户可以重复循环访问密码,直到获得旧的最爱。

http://technet.microsoft.com/en-us/library/cc779758(v=ws.10).aspx(Server 2003) http://technet.microsoft.com/en-us/library/hh994570 ( v= ws.10).aspx (Server 2008 / Windows Vista以上)

所以,这不是0的一个很好的理由。另外,根据这些文章:

默认

1在域控制器上。

0在独立服务器上。

所以,换句话说,默认值是您需要能够执行密码历史logging的最小值。

现在,我个人认为没有一个有效的安全原因来执行最小密码年龄, 可能有一些实际/人为的原因。 例如,您可以限制密码更改次数以减less“忘记密码”电话的次数。 我可以看出,这对高中生来说是很实用的。

最后,值得注意的是,这些限制不适用于Active Directory用户和计算机的手动密码重置。 因此,如果用户确实需要更改密码,则可以随时询问系统pipe理员。

密码最短使用期限的基本原理是防止用户在强制更改密码后立即还原旧密码。 此策略最好与“密码历史logging”策略一起使用(防止用户重新使用其最近的X个密码)。

最小密码年龄也可以作为安全措施。 如果黑客在闯入电脑后立即更改密码怎么办?