https://www.opennet.ru/openforum/vsluhforumID3/138850.html Доступен выпуск инструментария shadow-utils 4.19.0, включающего утилиты для управления учётными данными пользователей и групп, а также хранения паролей в отдельном файле /etc/shadow, доступном только пользователю root и группе shadow. В состав входят такие утилиты, как useradd, userdel, usermod, pwconv, groupadd, groupdel, groupmod, pwunconv, pwck, lastlog, su и login. Код инструментария написан на Си и распространяется под лицензией BSD...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64541<br> https://www.opennet.ru/openforum/vsluhforumID3/138850.html#74 Sat, 03 Jan 2026 12:35:01 GMT &gt; Уже лет 15 или больше на всех секьюрити конференциях долбят одно и то же, толдычат и психологи и на практике - необоснованное заставление смены паролей только вредит. <br><br>На заборе тоже много чего пишут, мне нужна конкретно теорема, в которой утверждается, что от частой смены пароля снижается "уровень" безопасности. Ну вот как теорема о минимальной длине пароля, можно ведь спокойно доказать, что с уменьшением длины пароля "уровень" безопасности снижается, думаю с этим даже школьник справится, ведь b^(n-1) &lt; b^(n). Выше в коментах, я привел аргумент с брут-форсом, при котором, достаточно один раз сменить пароль, и волею случая (1/2 с этой вероятностью), атакующий будет заниматься бесполезным действием, а "вы" предлагаете, его банить фейл-ту-баном :)<br><br>&gt; Рекомендации НИСТ-а основываются на профессиональных исследованиях которые доказывают, что люди не запоминают пароли при частой смене, путаются и просто трансформируют предыдущий пароль - что есть фейк сенсе оф секьюрити.<br><br>А почему вам НИСТ не рассказывает, https://www.opennet.ru/openforum/vsluhforumID3/138850.html#73 Sat, 03 Jan 2026 05:30:57 GMT &gt;Ну, лет через десяток и до отечественных бизопастнегов новость дойдет<br><br>Кто не понял, атечественные бизопаснеги - это ФСТЭК России.<br> https://www.opennet.ru/openforum/vsluhforumID3/138850.html#71 Sat, 03 Jan 2026 03:23:53 GMT &gt; И даже если Verifiers не установил никаких своих требований, это же не говорит о том, что пользователь должен игнорировать собственные политики парольной безопасности. <br><br>Уже лет 15 или больше на всех секьюрити конференциях долбят одно и то же, толдычат и психологи и на практике - необоснованное заставление смены паролей только вредит. Рекомендации НИСТ-а основываются на профессиональных исследованиях которые доказывают, что люди не запоминают пароли при частой смене, путаются и просто трансформируют предыдущий пароль - что есть фейк сенсе оф секьюрити. В итоге даже в банках можно встретить стикер с паролями на мониторах, т.к помимо своих личных есть еще куча "производственных" паролей которые должен запоминать пользователь, а люди как известно существо ленивое и изобретательное, отсюда куча "Бобик2025!" =&gt; "Бобик2025!".<br><br>&gt; а вот частота смены - ничем не обоснована<br><br>Обоснованно (если вас забанили в интернете то помогу):<br><br>1. https://pages.nist.gov/800-63-FAQ/#q-b05<br>2. https://inventivehq.com/blog/how- https://www.opennet.ru/openforum/vsluhforumID3/138850.html#70 Fri, 02 Jan 2026 18:47:10 GMT У тебя грейлистинг?<br> https://www.opennet.ru/openforum/vsluhforumID3/138850.html#69 Fri, 02 Jan 2026 17:27:37 GMT &gt; свое трактование Verifiers (которые по ходу - Auditors).<br><br>Аудитор ничего не определяет, он проводит аудит, то есть контролирует соблюдение политик безопасности. Verifiers - это банально служба-услуга, где используется парольный доступ к услуге, и в этом случае Verifiers МОЖЕТ устанавливает свои минимальные требования к длине пароля, а в случае с частотой смены пароля - его максимальный срок действия. Но это ни как не влияют на собственную политику пользователя, у него минимальная длина может быть больше, а максимальный срок - меньше. И даже если Verifiers не установил никаких своих требований, это же не говорит о том, что пользователь должен игнорировать собственные политики парольной безопасности. И наоборот, если Verifiers установил минимальную длину пароля больше чем фактически у пользователя, тогда он тупо не даст доступ к услуге. В таком случае можно говорить, что Verifiers диктует свои требования и ему в таком случае SP 800-63B советует "SHOULD NOT require" относительно частоты смены, ибо это куда ин https://www.opennet.ru/openforum/vsluhforumID3/138850.html#68 Fri, 02 Jan 2026 14:24:35 GMT &gt; Понимаем кто такой Verifiers?<br><br>С Новым Годом !<br><br>У меня нет сегодня желания общаться с тролями (праздники всё таки) особенно которые сомневаются в рекомендациях известной на весь мир конторы и имеют свое трактование Verifiers (которые по ходу - Auditors). <br><br>&gt; И я не вижу пояснений - почему именно "SHOULD NOT require".<br><br>:))) Спасибо, посмешили <br> https://www.opennet.ru/openforum/vsluhforumID3/138850.html#67 Fri, 02 Jan 2026 13:12:45 GMT Понимаем кто такой Verifiers? Не Verifiers определяет парольную политику безопасности.<br><br>И я не вижу пояснений - почему именно "SHOULD NOT require".<br> https://www.opennet.ru/openforum/vsluhforumID3/138850.html#66 Fri, 02 Jan 2026 13:08:35 GMT тссссс, щас налетят и фукать будут ссх по паролю, а не по ключу :)<br><br>&gt; Попробуй побрутфорсить sshd...<br><br>а что, что-то мне мешает это делать? Брут-форсе (грубая сила) всегда возможен по определению.<br> https://www.opennet.ru/openforum/vsluhforumID3/138850.html#65 Fri, 02 Jan 2026 13:05:53 GMT комп это то, что у вас на кухне стоит, у меня вычислитель.<br>