Már egy ideje többek között az amerikai szabványügyi hivatal (NIST), és a Microsoft sem javasolja az évtizedeken át sulykolt jelszó házirendet, hogy a jelszavak márpedig rendszeres időközönként cserélésre kerüljenek. Persze ez nem jelenti azt, hogy esetenként erre ne lenne szükség, a felhasználók azonban sokszor mindent megtesznek azért, hogy meghackeljék a jelszó házirendet.
Minduntalan kikényszeríteni egy jelszócserét, csupán azért, mert „eljött az ideje” nem igazán hatékony módja a fiókvédelemnek. A valóság az, hogy a legtöbben ilyenkor csupán egy karaktert változtatnak a jelszavukon, vagy beállítanak ugyan egy új jelszót, de azt egyből felírják egy papírra, ami azután sok esetben az asztalon marad, vagy ─ egy fokkal még rosszabb megoldással ─ post-ittel felkerül a monitorra.
Időnként mégis fontos cserélni a jelszavakat, főképp olyan esetben, amikor történt egy biztonsági incidens a szervezetnél. A rendszerüzemeltetők tehát esetenként nem tehetnek mást, mint hogy kikényszerítik a hitelesítőadatok cseréjét. A felhasználók azonban sok esetben ekkor trükkökhöz folyamodnak, például megváltoztatják a jelszót, de rögtön utána visszacserélik az előzőre. Voilá, a jelszócsere így meg is történt, meg nem is.
Veterán adminoknak ezzel bizonyára nem árulunk el nagy titkot, de azért érdemes megemlíteni a jelszótörténet (password history) beállítást, ami Windows domain környezetben egy nagyon hatékony megoldást nyújt a fentiekre.
Így állítsuk be
Navigáljunk a Group Policy Management Editorban a Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Password Policy alá.
Dupla katt a Enforce Password History-re, és állítsuk be, hogy a rendszer hány korábbi jelszót logoljon:
Önmagában ennek a beállítása azonban még nem biztos, hogy elégséges, egy szemfüles és eléggé elszánt felhasználó még mindig borsot törhet az orrunk alá, ha tudja, hogy hány jelszót tárol a rendszer. Elég annyiszor megváltoztatni a jelszavát, hogy visszatérjen a kellemes, régi ─ bele se gondoljunk hány rendszerhez használt ─ jelszavához.
Erre nyújthat megoldást a Minimum Password Age beállítás, ami csupán annyit tesz, hogy be tudunk állítani egy minimális időkorlátot, ameddig a felhasználót nem engedi egymás után többször megváltoztatni a jelszót. Így például egy 24 jelszavas naplózás mellett, 1 napos időlimittel a felhasználónak már 24 napjába kerülne visszatérni az eredeti jelszavához. Talán ennek kivitlezéséről már feltételezhetjük, hogy túl nagy elhivatottságot kívánna.
