Nawet jeśli zarówno e-mail, jak i rozmowa telefoniczna są nagrywane, o rząd wielkości łatwiej jest przeszukać bazę danych e-maili pod kątem „hasła” niż przeszukać nagrania głosowe.
Jednak najlepsze praktyki mówią, że jedna i tylko jedna osoba powinna znać hasło do konta, a jest to osoba będąca właścicielem konta. Administrator nie powinien o tym wiedzieć, ani serwer (np. Zaszyfrowane hasło).
Zwykle można to zrobić: jeśli hasło niedawno (dla danej wartości) wygasło, użytkownik mogą używać swojego starego hasła, ale natychmiast po uwierzytelnieniu (przed zalogowaniem) są zmuszeni do zmiany hasła, a następnie natychmiast się rozłączają. Jeśli hasło wygasło jakiś czas temu, administrator może oznaczyć wygasłe hasło jako „niedawno wygasło” na krótki okres czasu - np. 10 minut. Administrator nie musi wiedzieć, jakie jest to hasło. Jeśli użytkownik zapomniał hasła, administrator może nadać krótkoterminowe (np. 10-minutowe) hasło, które również wymusza natychmiastową zmianę hasła.
Ponadto, jeśli użytkownik zmienił swoje hasło w ciągu ostatniego roku , powinni być zwolnieni ze zmiany (do dokładnie 1 roku od ostatniej zmiany).
Teoria, że hasło powinno być zmieniane raz w roku, jest również niezwykle wątpliwa, w większości przypadków - jeśli hasło jest jest zagrożony, zwykle jest natychmiast maksymalnie wykorzystany. Tylko przyznanie atakującemu „tylko” 6 miesięcy dostępu (średnio) wydaje się dość bezcelowe (lub „tylko” 6 dni w tej kwestii). Sugeruje to uwierzytelnianie dwuskładnikowe, przy czym drugi czynnik jest za każdym razem unikalny (Google Authenticator, OTP, OPIE, challenge-response itp.), Jeśli zasób jest wart ochrony.
Administrator nie powinien znać hasła użytkownika, jeśli można go uniknąć. W razie potrzeby powinni mieć możliwość zostania innym użytkownikiem za pomocą swojego WŁASNEGO hasła, które jest następnie zapisywane w dzienniku kontroli. Jest to szczególnie ważne, jeśli istnieje kilka poziomów „administratora” (tj. Jeśli są ludzie, którzy mogą zmieniać hasła, ale nie mają wpływu na dziennik audytu).
Drobne zaciemnienia (takie jak zabezpieczenia audio, obrazu itp. ), są niebezpieczne, ponieważ sprzyjają samozadowoleniu bez zabezpieczenia.