Comments 185
Банковский сектор как пример для подражания
… Задумайтесь: пин-код от банковской карты составляет всего 4 символа, однако никто не кричит о том, что он «слишком короткий» и простой для взлома
Это не банковский сектор. Это преданья старины глубокой по использованию пластиковых карт. Притом там серьезная блокировка при неправильной авторизации, да и логин не такой простой, как кажется.
Сама карта это логин — однозначное определение пользователя. Пин код это пароль.
- Если пароль короткий то его легко перебрать, соответственно его время жизни должно быть мало
- Если человек уволился то нужно иметь четкую процедуру блокировки учетных записей, в больших организациях зачастую информацию об увольнении получить невозможно, и короткое время жизни пароля решает задачу с блокировкой учетных записей уволенных сотрудников
В целом, как я считаю, основное препятствие для внедрения длинных паролей — отсутствие работающих процедур блокировки, смены паролей. Убедить бизнес чисто математическими расчетами думаю нельзя, но если вы 2-3 раза безболезненно сможете провести глобальную смену паролей во всей организации без последствий — с этим уже можно будет идти к бизнесу
Не решает.
Как происходит процедура смены пароля в AD том же:
— Срок действия старого пароля истёк.
— Ты входишь в систему со старым паролем.
— Тебе говорят: ай-ай-ай, поменяй пароль
— Ты завершаешь сеанс
— Вводишь старый пароль
— Вводишь новый пароль
— Работаешь.
Т.е. если тебя уволили, но учетку не убили — ты и после окончания срока жизни пароля войдешь в систему, еще и поменяв пароль в очередной раз.
После этой даты — хоть тресни — в систему уже не войдёшь.
По крайней мере у нас так заведено.
А скриптиком поделитесь. Плз.
в больших организациях зачастую информацию об увольнении получить невозможноа как же сдача всего оборудования при увольнении? у меня в последней организации так было. человек приходит с обходным листом в том числе в ИТ-отдел. сдает рабочее место, проверяется наличие оборудования… и блокируется учетная запись… человек получает подпись в обходной лист
Прочитав статью, вспомнилось как в далеких 90-х мы интегрировали системы контроля доступа (СКД) с системами защиты от несанкционирванного доступа (НСД) к компьютерам. Системы мы тогда назвали "Броня-ОТМ" — Система контроля несанкционированного доступа к компьютеру, совмещенная с системой контроля доступа в помещения "Броня-ОТМ". Система хорошо работала: вышел через турникет, не выключив компьютер, он автоматически выключался (и в БД все заносилось), пробрался на рабочее место минуя СКД — компьютер не загрузишь:
В этом случае и пароль менять не надо.
А почему пароль менять не надо?
Принудительная смена пароля = усложнение рабочего процесса среднестатистического работника. Это самое усложнение должно быть оправданным, не просто же так палки в колеса совать.
Еще раз спрошу почему после картинки — В этом случае и пароль менять не надо. ?
Эта система что Серебряная пуля?
Там полно возможных способов несанкционированного доступа и притом разных. Хоть от варианта что контроль доступа стоит в офисное здание, хоть от варианта что контроль доступа стоит в каждое помещение где не больше двух мест АРМ, и учетка работает только когда идентификатором открыли дверь именно в это помещение.
Каким образом потенциально существующие недостатки любой системы (хоть бы даже и той что на картинке) становятся аргументами за смену пароля по таймеру? Это никак не связанные вещи.
Есть правило, что пароль вещь индивидуальная и сообщать ее коллегам\тех. поддержки, приходящим ребятам из франчайза 1С нельзя. Но ведь так удобно, заболела, позвонила Любочке, сказала пароль. Или этот 1сник который будет часа что-то обновлять. На тебе пароль, потом все закрой.
Ваш пароль на бумажке украли, или просто подсмотрели как вы его набираете.
В пароле по шаблону нет ничего такого ужасного при условии, что система аутентификации не позволяет себя брутфорсить и ограниченна числом попыток.
Сброс пароля по таймеру позволят ограничить масштаб проблемы и для по мнению тех кто придумывает эти правила и для меня лично смена пароля это дешевая нетрудозатраная задача.
Есть контр вопрос, который меня больше всего забавляет. Почему квалифицрованный взрослый человек с высшим образованием не может раз в 3 месяца выучить 8-12 новых символов? Ваши дети в школе Маяковского учат, некоторые даже Шекспира в оригинале.
Есть контр вопрос, который меня больше всего забавляет. Почему квалифицрованный взрослый человек с высшим образованием не может раз в 3 месяца выучить 8-12 новых символов?
Потому что у меня, например, сейчас на работе используется 20 разных паролей для 20 разных мест. И каждые 3 месяца обновлять их все становится сразу намного сложнее
Сменить пароль занимает меньше минуты. Обычно со временем вырабатывается алгоритм составления и перехода на новый, что не рекомендуется.
Конечно если пароли не придумывает программа или другой человек, тут можно только посочувствовать.
Обросшее, как теперь модно говорить «легаси», вендорозависимым софтом, разбившееся на ветки, играющее в матричную структуру и прочее.
Или этот пароль менять не надо и если утечет то и фиг с ним?
Ваш ИТ отдел за hh.ru никакой отвественности не несет, хотите меняйте хотите нет.
Расскажите пожалуйста, как поможет SSO для входа хотя бы на hh.ru?
Кстати, показательно что на hh.ru долгое время не было требований регулярной смены пароля, а в последние года два-три оно появилось.
Почему квалифицрованный взрослый человек с высшим образованием не может раз в 3 месяца выучить 8-12 новых символов? Ваши дети в школе Маяковского учат, некоторые даже Шекспира в оригинале.
Во-первых, речь идет обо всех сотрудниках, так что «квалифицрованный взрослый человек с высшим образованием» вычеркиваем.
Во-вторых, пароль надо помнить 3 месяца а не до конца урока, а забытый/перепутанный один символ в «сильном» пароле — уже билет на зачастую не сильно быструю и удобную процедуру восстановления пароля.
В-третьих, нередко на одного человека нередко приходится несколько паролей, каждый из которых надо менять — и тут уже приходится или записывать (не-продвинутый пользователь запишет на бумажку), или поступаться уникальностью.
В-четвертых, имея хорошую память, вполне можно запоминать новые действительно уникальные пароли каждые Н месяцев — но те же усилия можно приложить куда-то где их подуктивность выше нуля.
А это всего 4 цифры.
Смена паролей это просто очень дешевый способ поднять безопасность. Есть подороже, но это все отразится на вашей зп в конечно счете.
Чтобы сделать всем токены или биометрию, вам нужно купить оборудование и лицензии, а самое дорогое, ваш админ с этим не справится, нужен еще один.
Если честно, сколько вы готовы отдать из своей ЗП, чтобы не менять пароли раз в 3 месяца?
ЗЫ. Кстати, Автор. А вы не могли бы добавить это в опрос? Без иронии, всеже понимают, что ничего не бывает бесплатно.
Нежелание вникать в бизнеспроцессы для разграничивания доступа и тупое следование методичке (которая устарела).
Пароль в корпоративной среде несет только одну функцию — ЭЦП.
Факт владения паролем подтверждает право на совершение действий. Всё.
Низовой состав всегда будет меняться паролями, что бы прикрыть запои.
Руководство никогда не отдаст пароль, что бы не спалить конфиденциальную инфу.
Сливы — через инсайд, обрушение инфраструктуры — через криптолокеры, которые плевали на пароли.
Нормальное решение персонифицированного ЭЦП — зарплата капает тому, кто залогинился.
Двинутое — смена паролей -30 дней, большие/маленькие+цифры+хрень_всякая.
Сдаюсь, предприятии с массовыми запоями не мой профиль.
Если нет возможности достать файлы из профиля человека, кроме как зайдя с его паролем, то пароли будут давать друг другу и писать в доступном месте. Люди они такие.
Если СБ не предусмотрела типичные недостатки людей то это проблема СБ, а не людей.
У разработчиков все просто. Все что может быть нужно другим людям в гите. Остальное точно не нужно. А вот с «бухгалтерами» это не работает
Т.е. вы правы, но всё-таки есть кейс, от которого регулярная смена паролей защищает, пусть и ценой мучений сотрудников. У прочих подходов (2FA, меры обнаружения несанкционированного доступа и даже биометрия) тоже есть свои минусы.
Почему квалифицрованный взрослый человек с высшим образованием не может раз в 3 месяца выучить 8-12 новых символов?
Потому что квалифицированный взрослый человек с высшим образованием пришел на работу зарабатывать деньги вместе с организацией.
А не страдать мурой, из-за того, что ИТ хочет увильнуть от ответственности, действуя по устаревшим методичкам.
А потом прилетает криптолокер бухгалтерше Любочке и сносит всю инфраструктуру- очень от этого помогают пароли из больших/маленьких+цифры+хренотень.
Таймер на пароли это не решение проблемы безопасности системы. Это борьба с теми, кто считает, что ИТшники могут сделать безопасность сами. Но это не так, пользователь тоже часть этого, и он тоже должен участвовать.
Всеравно, оператор Лидочка прикроет оператора Людочку, зайдя под ее паролем.
Потому что у Людочки была незабываемая ночь с намеком на, внимание, «отношения» и сегодня Людочка в дрова. А работа стоит, документы не ходят.
Самое слабое в безопасности — человек. И тупые методички насчет паролей не устраняют проблемы.
Правильное решение — кто залогинился, того и ЗП. У начальника — мастер-пароль на случай отсутствия Людочки и возможность перекинуть переписку и полномочия Лидочке, Лидочке капает не от табеля, а от закрытых тасков.
И Людочка превращается из «лучшей подруги, которой привалило женского счастья» в «пьяную лядь, которой лишь бы сачконуть».
2. Отпуска, больничные и вот это всё. Возможность наличия «мастер-пароля» у начальника с возможностью делегирования доступа ушедшей в отпуск Любочки дежурной Лидочке требует весьма серьёзной настройки всего, от телефонии и СКД до всех до единой корпоративных программ, включая всякие облачные сервисы типа того же hh.ru. Ну, не заставлять же Лидочку бегать от одного стола к другому и обратно, правильно? Не потому что мы не хотим нагружать её ножки, а потому что это тупо медленно, а на неё и так двойной объём работы упал.
Правильное решение — кто залогинился, того и ЗП.
"Залогинься за меня, я тебе потом с зарплаты отдам"
Токен стоит около 1000 рублей. Это вообще не расходы для фирмы.
Выдается под роспись при приходе сотрудника на работу, сдается им в первый отдел и опечатывается при уходе в т.ч. на обед и покурить.
Сколько же еще всякой херни придумать можно при желании…
Пропуск выдавать и забирать все умеют. Добавить к пропуску выдачу-забирание токена элементарно.
Проблема только с решением как быть с заболевшими, в отпусках итд. Вот тут действительно придется поработать.
Пароли менять естественно проще. Заболел? так все знают пароль под клавиатурой. Ну или позвонить и спросить всегда можно.
Пропуск выдавать и забирать все умеют. Добавить к пропуску выдачу-забирание токена элементарно.
В этом случае логичнее токен совместить с пропуском. не?
Удаленный доступ нужен.
Покурить как выйти? Курилки нынче на улице.
В обед что делать? Обед тоже обычно на улице.
Да и глючат такие системы страшно… Постоянно считают что человека нет, хотя он есть или наоборот. Особенно смешно когда дверь не открывается, т.к. считает что человека за ней не может быть.
1. Собрать несколько паролей
2. Посмотреть на них внимательно и найти зависимость (если правило генерации чуть сложнее, бот может уже не справиться)
По сути эти пункты — дополнительные рубежи пусть не защиты, но усложнения доступа.
Если бы пароль не менялся достаточно было бы угнать один пароль любой давности.
И вы на тёмной стороне :)
Особенно хорошо это когда у вас в компании несколько рабочих мест (разные сети, пароли не синхонизируются) есть несколько учёток в системах которые не интегрируются с AD, и на них тоже "свои сроки смены паролей", и при этом ещё и объединённая почта завязанная на одну из учёток через один из AD и вам в итоге нужно помнить штук 10 паролей меняющихся раз в пару месяцев. (При этом часть из этих паролей вообще не имеет смысла, но то отдельная история)
Как минимум 3 AD, но 2 как-то таки смогли синхронизировать, но есть не нулевая вероятность что скоро ещё один ad придёт :)
Установка доп ПО запрещена, чтобы безопасность пропустила менеджер паролей, есть большие сомнения (начнём с сертификации у регулятора, что-то есть сомнения что такие существуют). Я вообще очень люблю высказывания "да всё это легко, ставим тут ПО тут галочки и всё" но по факту всё сильно сложнее, и вылезают то те то другие проблемы, в итоге в организации с персоналом под 100 тысяч годами не могут завершится проекты начинавшиеся такими фразами. ИМХО лучше бы автосмену паролей убрали, особенно с учётом того, что узких мест помимо этого предостаточно, нужно только очень сильно захотеть, но у нас в стране культ охранника, увы.
p.s. выступаю исключительно как бизнес пользователь, который иногда наблюдает умирание проектов (выгорание людей с хорошими идеями) на этапе сотгласования/ с безопасностью.
Регулярная смена пароля спасает от ситуаций, когда сотрудник имеет один и тот же пароль для входа в корпоративную сеть, личную почту и маленький уютный бложик с миллионом дыр.
Хочешь доступ к критичной инфраструктуре или подписать цифровой подписью — добавь токен и/или персональный сертификат.
Хочешь с мобильного устройства — будь под контролем MDM.
Все остальное надуманное, притянутое за уши и оторванное от реальности.
Регулярная смена пароля спасает от ситуаций, когда сотрудник имеет один и тот же пароль для входа в корпоративную сеть, личную почту и маленький уютный бложик с миллионом дыр.
Лично знаю сотрудника ( нет, не я — у меня другая технология «борьбы»), который при запросе AD на смену пароля меняет его десять раз подряд. Да, у нас пароль не должен совпадать с 10 последними.
Приходится менять, добавляя +1 к текущему пин-коду.
Сразу захожу в настройки и принудительно меняю на старый пин-код.
Фишка в том, что пинкод он пишет не правильный :D
Пришла в голову идея так же клеить бумажки с неверными паролями и в логах это смотреть.
Что давало 4 возможных варианта. Только с 3й попытки угадал…
мы боролись с пользователями
вся суть.
Гораздо безопаснее ввести один раз пароль и не вводить его везде, а ещё лучше использовать windows hello (при входе в ПК вводить PIN), в итоге тем самым вообще не вводить пароль и не позволять кейлогеру его перехватывать
Соответственно люди хранят логин и пароли отдельных файлах. Т.е главное получить доступ к учётной записи, и всё, остальные потуги специалистов в других системах по информационной безопасности рассыпаются в прах, хоть ты делай пароль в 64 символа с цифрами буквами и блек дежеком.
Запускайте на ПК пользователей ПО которое ищет пароли в файлах, привет функционал DLP. Дорабатывайте свои АСУ для работы через SSO.
АСУ более 6 тыс (ну это с подпрограммами, реально где то 500, точной цифры нет).
Если в борьбе безопасников с бизнес подразделением победит безопасность, бизнес закроется :) (безопасность этого часто не понимает, по крайней мере та часть что исполнители).
p.s. а ведь бывает так что уровень доступа сотрудника к информации такой, что сканировать его файлы не желательно.
Лучше фразу "Антошка картошка пироги роги", стойкость больше, запомнить легче.
первые два в голове — третий уже можно в паролехранилке хранить.
1. От битлокера (да не лучшее решение, но что то)
2. От учтеки виндовс (что бы собственно войти)
3. От менеджера паролей.
В том смысле, что если нет требования по смене пароля, то можно относительно безболезненно повысить требования к сложности пароля.
А те люди, которых вы готовы принять как адекватных и которые поддержат вашу инициативу — скорее всего бездари, у которых выхода не будет кроме как плакать и продолжать ржать кактус
я ПРОТИВ того чтобы люди запоминали мешанину из букв и цифр. я ЗА то чтобы они ЗАПИСЫВАЛИ достаточно сложные пароли. и имели 1 который помнят. тоже сложный (25+ символов), но простой для человека.
комментарий же про тех пользователей, которые не сделали сложные пароли к сервисам и не записали их, а вместо этого сделали пароли вида `123q1w2e3r4!!!`
для того чтобы не было паролей 123 и прочил популярных — должен быть процесс проверки таких паролей отделом ИБ.
А почему кто-то должен иметь доступ к явному чтению паролей? А сами пароли регулируются установленными правилами программ при установке, изменении пароля.
Когда пароли часто меняются после каждой мены начинаются блокировки по подбору — часто меняющиеся пароли сложно запомнить, поэтому их чаще сохраняют в автозаполнении браузера и ещё куче не очень безопасных мест. Особый шик: забытая пользователем сессия с запущеным например IMAP клиентом где-нибудь на всеми забытой виртуалке… Или сохранённый пароль в настройках прокси сервера в куче конфигурационных файлов.
Остальное может иметь какую-угодно политику. Хочет руководство видимости безопасности — пусть хоть каждый день пароль меняет. Я его всё равно генерю KeePassXC и не знаю вообще.
Вопрос в том, что надо обучать подьзователей информационной безопасности. Доносить до них что безопасность в компании это не задача «му**** из отдела ИБ», а КАЖДОГО сотрудника от уборщицы до ТОПа.
Сам использую фразы из 3-4 русских слов в англ раскладке разбавляю случайными символами. И длинный и запоминается.
Единственный минус — очень неудобно вводить на мобильных устройствах (когда нет одновременно русских и английских букв на клавишах).
IT, начитавшись методичек по снятию ответственности, поставило в домен требования большие/маленькие+цифры+всякая мура со сроком смены 30 дней.
Теперь у меня пароли вида Qwerty123 4 5…
Безопасность — взлетела до небес, я гарантирую это на 146%
Девичья фамилия матери? GBTHpD. Да, странная, но у неё Польские корни.
Просто я воспринимаю это, как еще одно поле пароля.
Ещё как вариант — литературный.
Строчка из какого-нибудь известного стихотворения, плюс соль из цифр/спецсимволов (если есть требование, чтобы они были).
Получается и достаточно длинно (это уже не пароль, а целая фраза). И не забывается.
И менять просто. В январе первую строчку, в феврале — вторую и т.д.
Я одобряю только метод Кащея: у юзера флешка, на флешке раздел, в разделе файл, в файле пароль. Воткнул — открылось, вынул — закрылось. Нужен доступ к чужому компу — позвони админу, он у себя кнопочку нажмёт, и по своей флешке зайдёшь.
Регулярная смена пароля решает один конкретный кейс: пароль утёк, и например конкурент может годами смотреть переписку руководства, финансовую деятельность и т.д. Если злоумышленник не совершает каких-либо сильно заметных действий, это может очень долго никто не замечать.
Думаю, будущее за авторизацией по отпечатку пальца, радужке и т.д. И сотрудников не нужно мучать регулярными сменами пароля или 2FA, и кто попало не войдёт.
За собой заметил, что в онлайн сервисах, которые требуют регулярную смену пароля, я вообще не утруждаю себя запоминанием этого пароля: либо вхожу каждый раз через «восстановить пароль» либо просто храню пароль в менеджере паролей браузера. Однако Яндекс Браузер мне на днях сделал пакость: было несколько запомненных логинов-паролей к одному сервису, и в один момент бац — и остался только один. Остальные исчезли. Ну и как доверять хранилкам паролей после такого?
У меня есть 5-6 паролей зубодробительной сложности — использую ротацию этих паролей или их связки типа пароль1+пароль2.
По своей сути пароли уже давно должны бы отмереть — на массовом рынке уже минимум пять лет существуют технологии позволяющие массово отказаться от них. В наши дни, когда стоимость незаметного получения чужой sms около полутора долларов, а реестра dns траффика произвольного ip около 50 за сутки, нужно просто понять, что безопасность сегодня «делается» иначе, чем озвучивается на конференциях. И пока орды свежеиспеченных «CEH» вклиниваются своими дырявыми микротиками в трафик, да и просто пользуются дефолтными паролями для доступа к провайдерскому оборудованию, ничто не мешает нормальным ИБ строить безопасные внутренние сети, давать безопасный доступ сотрудникам в интернет. Но, к сожалению, ИБ сегодня это бизнес. И делают его не очень компетентные лица с завышенным самомнением и избыточными полномочиями.
строка из песни измененная неким образом: wake me up when September ends — >w@k3M3upwh3nz3pt3Mb3r3ndz, (a->@, e->3, s->z m->M), а далее можно использовать другую песню (или любую строку) по схожему правилу.
Если же менять слишком часто, то никто не будет «париться» и будут просто менять цифры. Но если менять слишком редко, то можно столкнуться со слитой базой причем не обязательно нашей базой, ведь люди часто ставят в нескольких местах одинаковый пароль невзирая на запрет.
А вообще двуфакторная аутентификация рулит :)
А если есть восстановление доступа по СМС (без знания пароля) это вообще НЕ 2х факторная авторизация. Т.к. собственно фактор тут только один — доступ к телефону.
но, к сожалению, «соверменные» варианты двухфакторной реализации предполагают только одну имплементацию, «кощееву смерть», где именно «телефон — ключ ко всему».
На него как приходят коды подтверждения, так и восстанваливаются пароли. Несмотря на очевидную губительность такого подхода, под двухфакторной авторизацией понимается это и только это, и все, кому ни лень, внедряют ее исключительно в таком формате.
Стараюсь такими не пользоваться по возможности или не доверять существенные деньги и/или ценные данные.
Поискать придется, но найти можно. Например в моем случае:
— В одном банке (Авангард) у меня в качестве 2ФА скретч-карты с одноразовыми паролями + ЭЦП на флешке (СМС тоже можно, но только самые мелкие операции с ограничением по сумме и кол-ву, чуть что-то более серьезное — только коды с карты, никаких СМС)
— В другом (ВТБ24) аппаратный генератор одноразовых паролей. В который еще и банковскую карту нужно вставить, чтобы он заработал и выдал правильный пароль, точнее насколько знаю пароль генерирует как раз чип в банковской карте, а устройство лишь обеспечивает карте ввод-вывод (экранчик, клавиатуру и батерейку для питания)
— в гугле и множестве зарубежных сервисов 2 вида приложений-аутентификаторов, генерирующее пароли (стоят на устройстве, в котором не то что интернета нет, а вообще внешней связи, кроме как по вручную подключаемому проводу или втыкаемой флэш-карточки — связь этим приложения не нужна, т.е. чтобы добраться до закрытого ключа на основе которого генерируются пароли, нужно физически заполучить это устройство, удаленный доступ к нему невозможен)
— еще в 2х важных (денежных) месте другой аппаратный генератор паролей, а номера моего телефона там даже не знают
Есть конечно учетки в таких местах, где все на СМС и один только телефон завязано, но в таких у меня ничего ценного.
пользоваться пасс-менеджерами — давно уже перестал. это дополнительный негативный рубеж, хоть и менее раздражающий, чем пропагандируемое здесь «двухфакторная авторизация», когда без СМС сейчас простейшего действия не сделаешь.
Ну вот скажите мне, идиоту несовременному, нафига на exist.ru смс подтверждение того, что сменил офис по умолчанию???
это «мы заботимся о вашей безопасности» уже достало. правильно здесь сказали про пин-код из 4 цифр — при должной политике блокировок этого вполне достаточно. Тем более, что при такой параноидальной двухфакторной защите всего-всего через интернет можно запросто оплачивать покупки, просто зная ОТКРЫТЫЕ данные карты (СVV по какой-то непонятной причине — указан открытым текстом, а 3ds далеко не все получатели требуют, и тут получается зависимость от опции, установленной конкретным продавцом, а не от общей защиты системы)
В банках со сменами паролей немного жестче. Приходится соответствовать рекомендациям ЦБ и постоянно быть готовым к разного рода аудитам, в т.ч. По части ай-ти. Приходится и вводить пароли из 10 символов с обязательной заглавной, цифрой и спец-символом и это встречает до сих пор шквал негодований пользова елей, которые и так не могут пин-код от карточки запомнить, так им каждые 3 месяца надо ‘опять’ сменить пароль на АД, на АБС, на контуры, фонды и прочие банк-клиенты. Это очень не удобно, но деваться некуда совсем. Игнорировать эти требования пебе дороже.
Насколько было замечено любой взломостойкий пароль будет любым в меру длинным русским словом, записанным на англицской раскладке с большой буквы и одна цифра. Такие пароли без клавиатуры и мата не введешь просто так. Ну, и, удачи в брут-форсе :-)
Замечено, что Windows (или LDAP или кто там не знаю) хранит 6 последних паролей.
Я меняю 6 раз на случайный (лучше записать на бумажке, чтоб не ошибиться)
А на 7ой раз восстанавливаю свой старый добрый пароль.
Меня это нешуточно беспокоит. Вот правда.
Я думаю можно докопаться и сказать, что это личные данные и храниться без согласия пользователя права не имеют.
«Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically).
However, verifiers SHALL force a change if there is evidence of compromise of the
authenticator.»
Руководители, хватит сбрасывать пользовательские пароли раз в месяц