Запретить двум пользователям одинаковый пароль

235
Ciccarello

Я сомневаюсь, что это возможно, и я знаю, что это не самая безопасная идея, но я хочу посмотреть, есть ли способ в Windows, чтобы два пользователя не имели одинаковый пароль.

В частности, я хочу, чтобы у пользователя было две учетные записи, одна учетная запись, одна администратор, чтобы они могли по своему усмотрению наращивать свои разрешения, но в случае, если вредоносная программа завладела их учетной записью, они только скомпрометировали пользователя, а не администратора.

Насколько я понимаю, хеши паролей в Windows не засолены, поэтому хэши двух паролей должны быть одинаковыми. Кто-нибудь знает возможно ли это?

Примечание: я бы настроил это для активного каталога, а не для локальных пользователей.

-5
Поскольку пароль нигде не должен храниться в открытом тексте, самое близкое, что вы можете получить, это предотвратить совпадение двух хешей. Это не обязательно означает, что пароли идентичны, только то, что они хэшируют с одинаковым результатом. Tetsujin 5 лет назад 2
Самый простой способ, вероятно, состоит в том, чтобы использовать форму для создания учетных записей пользователей в парах и проверять их в виде простого текста, если они совпадают, а затем проверять, создавать или обновлять две учетные записи. jdwolf 5 лет назад 0
Назначьте всем 2 пароля, по одному для каждой учетной записи. Запишите их на пост и вручите по одному каждому пользователю, чтобы они могли прикрепить его на боковой панели монитора. Вы знаете, они все равно это сделают ;-) Tetsujin 5 лет назад 2
В Windows нет встроенного механизма, обеспечивающего эту функциональность. Фильтрация содержимого должна использоваться для предотвращения доступа вредоносных программ к вашей сети. Ramhound 5 лет назад 0
Назначьте им разные пароли, о которых вы им не говорите и которые они не могут изменить, а затем настройте биометрическую защиту. ;) Jason Bassford 5 лет назад 1

1 ответ на вопрос

4
music2myear

Вместо того, чтобы проверять соли, используйте политики для управления этим поведением.

Если бы я пытался запретить людям, имеющим как обычные, так и административные учетные записи, использовать одни и те же пароли, я бы сделал следующее:

Обычная учетная запись пользователя имеет более обычные требования к длине и сложности пароля:

  • Минимум 8 символов
  • по крайней мере 1 каждый специальный, цифровой, -символ символов
  • истекает каждые 90 дней
  • память пароля составляет 20
  • так далее

Пароль учетной записи администратора имеет гораздо более строгие требования:

  • Минимум 15 символов
  • по крайней мере 2 или 3 из специальных, цифр, букв
  • истекает каждые 45 дней
  • память пароля составляет 50
  • так далее

Это не мешает людям использовать один и тот же пароль, но затрудняет их сохранение.

Определенно они будут использовать пост-его ...;) Tetsujin 5 лет назад 0
Предполагая, что только квалифицированные технические специалисты получают учетные записи администратора, запись паролей является основанием для немедленного увольнения с предубеждением. music2myear 5 лет назад 0
А для не администраторов, которые записывают свои пароли, немедленно отключают свои учетные записи, сбрасывают свои pwds и информируют своих руководителей, подразделения и HR. Делайте случайные зачистки. music2myear 5 лет назад 0
Это просто загонит их под землю; дневники, экраны блокировки телефона, оборотные стороны конвертов, хранящиеся в ящиках, посты внутри их шкафчиков для одежды ... [Я шучу, но это не так. Как только вы сделаете это слишком сложным, они запишут это.] Tetsujin 5 лет назад 0
Это то, что я ожидал, в конечном итоге будет необходимо. Я надеялся, что пользователям будет немного проще, при этом сохраняя безопасность учетной записи администратора. Поскольку у нас уже есть довольно жесткая политика паролей, если бы мы усилили админскую политику, мы бы в конечном итоге сбрасывали пароли администраторов сотни раз в день. Ciccarello 5 лет назад 0
Это возможно, но это (более или менее) действительные правила, по которым я действую, и хотя я не могу с уверенностью сказать обо ВСЕХ моих коллегах, те, кого я знаю наверняка, не записывают их. music2myear 5 лет назад 0
если они не записывают это, они создают запоминающиеся узоры. В прошлом месяце это было Fabulous23Marvellous. В этом месяце это Marvellous23Fabulous ... Tetsujin 5 лет назад 1
Иногда люди просто задумываются над сложностью пароля, поэтому на самом деле не так сложно сделать его загадочным в рамках политики, но его легко запомнить, даже если он часто меняется. Пользователь Jonathan Smith может быть, например, именем пользователя jsmith с паролем `Jon @ than # 00`. Следующие 90 дней он может переключать последние две цифры на `11` или` 01` и продолжать его движение как таковое ... LOL У меня был доступ к государственным медицинским системам, где он заставляет двух последовательных символов быть одинаковыми на следующих изменение пароля, но обычно с политиками AD для обычных пользователей и сложности, многие просто задумываются об этом. Pimp Juice IT 5 лет назад 0

Похожие вопросы