En soi, la règle de n'autoriser qu'un seul changement de mot de passe par jour n'ajoute aucune sécurité. Mais il vient souvent en plus d'une autre règle qui dit que le nouveau mot de passe doit être différent des n (généralement 2 ou 3) précédents.
La règle du changement par jour est une tentative d'éviter ce trivial perversion:
- un utilisateur doit changer son mot de passe car il a atteint sa limite de temps
- il le change en un nouveau mot de passe
- il répète le changer immédiatement le nombre de mots de passe enregistrés moins un
- il le remet immédiatement à l'original => hourra, toujours le même mot de passe qui est clairement ce que la première règle essayait d'empêcher ...
Ok, la règle pourrait être que changer le mot de passe plusieurs fois en une seule journée ne roule pas sur la dernière liste de mots de passe. Mais malheureusement, le premier est intégré dans de nombreux systèmes alors que le second ne l'est pas ...
En d'autres termes, il ne s'agit que d'une tentative pour forcer les utilisateurs non coopératifs à changer leur mot de passe en temps opportun.
Juste une analyse probabiliste triviale après des commentaires disant que permettre aux utilisateurs de ne jamais changer leur mot de passe n'est pas un problème de sécurité. Disons que vous avez un utilisateur assez sérieux et que le risque que son mot de passe soit compromis en un jour est de 1%. En supposant environ 20 jours de travail par mois, le risque d'être compromis dans un quart est d'environ 50% (1- (1- 1/100) ^ 60)). Et après un an (200 jours de travail) nous atteignons 87%! Ok, 1% peut être élevé, et commencez simplement à 0,1% par jour, seulement un sur 1000, assez négligeable n'est-ce pas? Mais après 1 an (200 jours de travail), le risque de début compromis est de près de 20% (18% pour être honnête). Si c'est le mot de passe pour les photos de vacances, je m'en fiche, mais pour quelque chose de plus important, cela compte.
Cela signifie que l'essentiel est d ' éduquer les utilisateurs et de leur faire accepter les règles, car nous savons tous que les règles peuvent facilement être contournées, et que si un utilisateur n'est pas d'accord avec elles, ne sera pas coopératif. Mais demander aux utilisateurs de changer régulièrement leur mot de passe est une règle de sécurité de base, car les mots de passe peuvent être compromis sans que l'utilisateur s'en aperçoive, et le seul moyen d'atténuation est de changer le mot de passe (probablement compromis).