Affected Platforms

Extended Description

AI Translation

Password aging (or password rotation) is a policy that forces users to change their passwords after a defined time period passes, such as every 30 or 90 days. A long expiration provides more time for attackers to conduct password cracking before users are forced to change to a new password.

Note that while password aging was once considered an important security feature, it has since fallen out of favor by many, because it is not as effective against modern threats compared to other mechanisms such as slow hashes. In addition, forcing frequent changes can unintentionally encourage users to select less-secure passwords. However, password aging is still in use due to factors such as compliance requirements, e.g., Payment Card Industry Data Security Standard (PCI DSS).

Technical Details

AI Translation

Common Consequences

access control

Impacts

gain privileges or assume identity

Potential Mitigations

Phases:

implementation architecture and design

Descriptions:

• Previously, "password expiration" was widely advocated as a defense-in-depth approach to minimize the risk of weak passwords, and it has become a common practice. Password expiration requires a password to be changed within a fixed time window (such as every 90 days). However, this approach has significant limitations in the current threat landscape, and its utility has been reduced in light of the adoption of related protection mechanisms (such as password complexity and computational effort), along with the recognition that regular password changes often caused users to generate more predictable passwords. As a result, this is now a Discouraged Common Practice [REF-1488] [REF-1489], especially as the sole factor in protecting passwords. It is still strongly encouraged to force password changes in case of evidence of compromise, but this is not the same as a forced "expiration" on an arbitrary time frame.

• Ensure that the user is notified several times leading up to the password expiration.

• Developers might disable clipboard paste operations into password fields as a way to discourage users from pasting a password into a clipboard. However, this might encourage users to choose less-secure passwords that are easier to type, and it can reduce the usability of password managers [REF-1294].

• Ensure that password aging is limited so that there is a defined maximum age for passwords. Note that if the expiration window is too short, it can cause users to generate poor or predictable passwords.

• Create mechanisms to prevent users from reusing passwords or creating similar passwords.

AI Generated Translation

Common Consequences

controllo degli accessi

Impacts

ottenere privilegi o assumere identità

Potential Mitigations

Phases:

implementazione architettura e design

Descriptions:

• In precedenza, "scadenza della password" era ampiamente consigliata come approccio di difesa in profondità per ridurre al minimo il rischio di password deboli, ed è diventata una pratica comune. La scadenza della password richiede che una password venga modificata entro una finestra temporale fissa (ad esempio ogni 90 giorni). Tuttavia, questo approccio presenta limitazioni significative nel panorama delle minacce attuale, e la sua utilità è stata ridotta alla luce dell'adozione di meccanismi di protezione correlati (come complessità della password e sforzo computazionale), insieme al riconoscimento che i cambi di password regolari spesso portavano gli utenti a generare password più prevedibili. Di conseguenza, questa pratica è ora una Pratica Comune Sconsigliata [REF-1488] [REF-1489], soprattutto come unico fattore nella protezione delle password. È comunque fortemente consigliato imporre cambi di password in caso di prove di compromissione, ma ciò non equivale a una "scadenza" forzata su un arco temporale arbitrario.

• Assicurarsi che l'utente venga notificato più volte prima della scadenza della password.

• Gli sviluppatori potrebbero disabilitare le operazioni di incolla negli appunti nei campi password come metodo per scoraggiare gli utenti dal incollare una password negli appunti. Tuttavia, ciò potrebbe incoraggiare gli utenti a scegliere password meno sicure, più facili da digitare, e può ridurre l'usabilità dei password manager [REF-1294].

• Assicurarsi che la scadenza delle password sia limitata in modo da avere un'età massima definita per le password. Si noti che se l'intervallo di scadenza è troppo breve, può indurre gli utenti a creare password deboli o prevedibili.

• Creare meccanismi per impedire agli utenti di riutilizzare password o di creare password simili.

CWE-263

Common Consequences

Impacts

Potential Mitigations

Common Consequences

Impacts

Potential Mitigations

Iscriviti alla newsletter