2017-06-14 79 views
0

LDAP/AD具有可以強制執行密碼歷史記錄的密碼策略。密碼歷史記錄當前有效密碼?

但是密碼歷史記錄是否包含當前有效密碼作爲歷史密碼之一?

問題: 1.是否將AD記錄到密碼歷史記錄當前有效密碼? 2.據我所知,OpenDJ不會將當前密碼記錄到歷史記錄中。爲什麼

回答

0

問題2:密碼歷史記錄是一種機制,用於跟蹤用於防止他重複使用N個最近密碼之一的密碼,因爲服務(或管理員)在一段時間後迫使其更​​改其密碼。當前密碼永遠不會出現在歷史記錄中,因爲歷史記錄代表了先前的密碼,而不是用於驗證用戶的密碼。 OpenDJ默認不啓用密碼歷史記錄,因爲OpenDJ產品在許多不同的環境中使用,但在面向客戶標識的場景中經常使用,其中強制用戶每N個月更改一次密碼不是最佳實踐,因此阻止他們重新使用以前的密碼是沒有必要的。 請注意,NIST關於密碼的最新修訂建議稱,在N個月後強制更改密碼並不是最佳做法,因爲它會導致用戶使用易於記憶和猜測的密碼,或者將它們寫在PostIt筆記上(因爲經常改變,因此太容易忘記)。相反,NIST建議服務需要更長的密碼,但只有在存在被破壞的風險時纔會更改密碼。

+0

謝謝盧多維奇。我可以理解OpenDj的行爲。你碰巧知道Active Directory中的行爲? –

+0

對不起,我沒有,但我會認爲它非常相似,並基於LDAP密碼策略Internet草案中提出的想法。 –

相關問題