Это небезопасно для приложения, чтобы сообщить, сколько дней осталось до истечения срока действия текущего пароля?

Question

Не опасно ли приложение сообщать, сколько дней осталось до истечения срока действия текущего пароля?

Например, если срок действия паролей истекает каждые 30 дней, если приложение сообщало вам, что срок действия вашего пароля истекает через 5 дней (разумеется, после того, как вы вошли в систему).

Или, возможно, приложение может сохранить файл cookie, который сообщает приложению о необходимости изменения пароля за 3 дня до истечения срока действия пароля?

Будет ли любой из них считаться плохой практикой?

Answer 1

Я не думаю, что небезопасно сообщать пользователю, когда истекает срок действия его пароля - по крайней мере, я не понимаю, как он может реально помочь злоумышленнику. В любом случае, это обычная практика - как упоминает Адам, это делает сама Windows.

Answer 2

См. Сообщение в блоге Брюса Шнайера о Смена паролей .

Основной причиной истечения срока действия пароля является истечение срока действия взломанных паролей; сообщение пользователю (или злоумышленнику), что срок его действия истекает, не меняет этого. То, что делает , это говорит атакующему о компрометации чего-то еще до истечения срока; зависит ли это от риска, зависит от того, есть ли такие злоумышленники (я ожидаю, что первое, что нужно сделать, это установить руткит).

Преимущество безопасности заключается в том, что пользователю дается некоторое время (например, неделя) на обдумывание нового пароля. Я могу придумать полуприличный пароль через минуту или две, при условии, что я не тороплюсь, чтобы закончить работу; иначе я просто увеличил бы счетчик на конце. Все так делают.

Мне кажется, что польза от эффективного высказывания "в какой-то момент на следующей неделе придумайте новый пароль" перевешивает потенциальные риски, но 30 дней слишком коротки. Мне нужно запомнить только несколько паролей (телефон, ноутбук + root, домашний сервер + root, рабочий компьютер + сервер, безопасный пароль); изменение любого из них утомительно.

Существуют различные способы обеспечения того, чтобы пользователи не выбирали пароли, связанные со старыми паролями; ни один из них не особенно хорош.

Answer 3

Я думаю, что если вам нужно сообщить пользователю, что срок действия пароля истекает через столько дней, вы должны создать страницу, которая появится после завершения входа в систему.

Например, если у вас есть одна страница, которая является вашей формой входа, то после этого она переходит к другому сценарию, который перенаправляет на домашнюю страницу при успешном входе в систему. Вместо немедленного перенаправления вы можете использовать <meta http-equiv="refresh" content="5; URL=/"> на странице, чтобы дать пользователю пять секунд на чтение страницы и показать, сколько дней у пользователя до истечения срока действия пароля. Но убедитесь, что сообщение отображается только после входа в систему, в противном случае хакер может прочитать содержимое страницы входа в систему, чтобы узнать, когда его пароль нужно изменить.

Ad @ м