应用程序报告当前密码还剩多少天过期是否不安全？

Question

应用程序报告当前密码还剩多少天过期是否不安全？

例如，如果密码每 30 天过期，如果应用程序告诉您密码将在 5 天后过期（当然是在您登录之后）。

或者，应用程序是否可以存储一个 cookie，告诉应用程序在密码过期前 3 天开始建议更改密码？

其中任何一个都会被视为不好的做法吗？

Answer 1

请参阅 Bruce Schneier 关于更改密码的博客文章。

密码过期的主要原因是使泄露的密码过期；告诉用户（或攻击者）它将过期并不会改变这一点。它的作用是告诉攻击者在截止日期之前妥协其他东西；这是否存在风险取决于是否存在此类攻击者（我希望首先要做的是安装 rootkit）。

安全好处是用户有一定的时间（例如一周）来考虑新密码。如果我不急于完成工作，我可以在一两分钟内想出一个还算不错的密码；否则我只会在最后增加一个计数器。 每个人都会这样做。

我的感觉是，有效地说“在下周的某个时候，考虑一个新密码”的好处超过了潜在的风险，但 30 天太短了。我实际上需要记住的密码只有少数（电话、笔记本电脑+root、家庭服务器+root、工作计算机+服务器、密码保险箱）；改变其中任何一个都是乏味的。

有多种方法可以确保用户不会选择与旧密码相关的密码；他们都不是特别好。

Answer 2

我认为，如果你需要告诉用户密码在这么多天后过期，你应该制作一个登录完成后出现的页面。

例如，如果您有一个页面是登录表单，那么之后它会转到另一个脚本，该脚本在成功登录后重定向到主页。
您可以在页面上使用 来给用户五秒钟的时间来阅读页面，而不是立即重定向。显示用户的密码还有多少天到期。
但请确保该消息仅在登录后显示，否则黑客可以读取登录页面的内容以找出何时需要更改密码。

广告@m

Answer 3

我不认为告诉用户密码过期是不安全的——至少我看不出它如何真正帮助攻击者。无论如何，这是常见的做法 - 正如 adam 提到的，Windows 本身就是这样做的。