在我的工作场所(我听说还有很多其他工作场所),几个需要密码的系统在密码过期前的两周内每天都会警告用户。警告是一个对话框,它会中断登录过程,并显示一条消息,例如“您的密码将在 13 天后过期。您想立即更改密码吗?”这种烦人和低效是显而易见的:如果有三个系统这样做,我每个季度可能会有 30 个额外的对话框需要我点击“取消”,而且由于通常的工作流程,我浪费了所有时间登录,喝咖啡,回来时桌面就会启动变成登录,喝咖啡,发现对话框正在等待,点击取消,在桌面出现时重新整理桌上玩具。
但我无法理解这样做的好处。有没有研究表明这样做可以提高安全性?有一定比例的用户在 76 天后(而不是通常的 90 天)更改密码,这是否真的是一种进步?如果是这样,为什么不强制要求所有用户在 76 天后更改密码?是否存在用户在密码到期后必须更改密码而被锁定的常见情况?一定存在某种理由,但我就是看不到。
答案1
简单的解决方案:警告弹出后立即更改密码:)
我看到的主要好处是,可能存在连接到中央帐户数据库的系统,如果密码已过期,则系统将无法登录用户,但他们自己无法执行密码更改操作。
各种基于 Web 的系统(即 Web 邮件)、VPN 解决方案等可能都存在这种情况,这意味着当用户密码过期时,尝试进行外部连接的用户将没有机会连接。
我甚至遇到过类似的问题,长期系统登录不会在密码过期时警告用户,并且用户随后(密码过期后)尝试连接服务但无法连接。祝您调试愉快...
因此,我的建议是也许可以减少警告期,但只有当连接到您的身份验证系统的所有系统都可以正确处理过期密码时才将其关闭,否则,请教育您的用户有关警告的原因,并告诉他们不要等到密码过期后才实际更改它。