Lunghezza minima password

Si applica a

  • Windows 10

Descrive le procedure consigliate, la posizione, i valori, la gestione dei criteri e le considerazioni sulla sicurezza per l'impostazione di criteri di sicurezza lunghezza minima password .

Informazioni di riferimento

L'impostazione del criterio lunghezza minima password determina il numero minimo di caratteri che possono costituire una password per un account utente. Puoi impostare un valore compreso tra 1 e 14 caratteri oppure puoi stabilire che non è richiesta alcuna password impostando il numero di caratteri su 0.

Valori possibili

  • Numero di caratteri specificato dall'utente compreso tra 0 e 14
  • Non definito

Procedure consigliate

Impostare la lunghezza minima della password su almeno un valore pari a 8. Se il numero di caratteri è impostato su 0, non è necessaria alcuna password. Nella maggior parte degli ambienti è consigliata una password di otto caratteri perché è abbastanza lunga da assicurare una sicurezza adeguata e ancora abbastanza breve da consentire agli utenti di ricordarsi facilmente. Questo valore consentirà di fornire una difesa adeguata contro un attacco di forza bruta. L'aggiunta di requisiti di complessità consentirà di ridurre la possibilità di un attacco del dizionario. Per altre info, vedi la password deve soddisfare i requisiti di complessità.

La possibilità di ridurre le password brevi riduce la sicurezza perché le password brevi possono essere facilmente interrotte con gli strumenti che eseguono attacchi del dizionario o della forza bruta rispetto alle password. La richiesta di password molto lunghe può comportare la creazione di password non digitate che potrebbero causare un blocco dell'account e quindi aumentare il volume delle chiamate del supporto tecnico.

Inoltre, la richiesta di password estremamente lunghe può effettivamente ridurre la sicurezza di un'organizzazione perché gli utenti potrebbero avere più probabilità di scrivere le proprie password per evitare di dimenticarle. Tuttavia, se agli utenti viene insegnato che possono usare passphrase (frasi come "Voglio bere un frullato di $5"), dovrebbero essere molto più probabili da ricordare.

Posizione

Criteri di Configuration\Windows Settings\Security Settings\Account Policies\Password

Valori predefiniti

Nella tabella seguente sono elencati i valori dei criteri predefiniti effettivi ed effettivi. I valori predefiniti sono elencati anche nella pagina delle proprietà del criterio.

Oggetto Criteri di gruppo o tipo di server (GPO) Valore predefinito
Criteri dominio predefiniti 7 caratteri
Criteri di Domain controller predefiniti Non definito
Impostazioni predefinite del server autonomo 0 caratteri
Impostazioni predefinite valide per domain controller 7 caratteri
Impostazioni predefinite effettive del server membri 7 caratteri
Impostazioni di GPO valide per i computer client 0 caratteri

Gestione dei criteri

Questa sezione descrive le caratteristiche, gli strumenti e le indicazioni utili per gestire questo criterio.

Richiesta di riavvio

Nessuna. Le modifiche apportate a questo criterio diventano effettive senza riavviare un dispositivo quando vengono salvate localmente o distribuite tramite criteri di gruppo.

Considerazioni sulla sicurezza

Questa sezione descrive come un autore di un attacco può approfittare di una funzionalità o di una configurazione, come implementare contromisure e le possibili conseguenze negative dell'implementazione di contromisure.

Vulnerabilità

I tipi di attacchi tramite password includono attacchi di dizionario (che tentano di usare parole e frasi comuni) e attacchi di forza bruta (che provano tutte le combinazioni possibili di caratteri). Inoltre, talvolta gli aggressori cercano di ottenere il database degli account in modo che possano usare gli strumenti per individuare gli account e le password.

Contromisura

Configurare l'impostazione del criterio * * * * su un valore pari a 8 o più. Se il numero di caratteri è impostato su 0, non sarà necessaria alcuna password.

Nella maggior parte degli ambienti è consigliabile una password di otto caratteri perché è abbastanza lunga da assicurare una sicurezza adeguata, ma non troppo difficile per gli utenti. Questa configurazione offre una difesa adeguata contro un attacco di forza bruta. L'impostazione della password deve soddisfare i requisiti di complessità in aggiunta all'impostazione lunghezza minima password consente di ridurre la possibilità di un attacco del dizionario.

Nota: alcune giurisdizioni hanno stabilito requisiti legali per la lunghezza della password nell'ambito della definizione delle normative di sicurezza.

Impatto potenziale

I requisiti per le password estremamente lunghe possono effettivamente ridurre la sicurezza di un'organizzazione perché gli utenti potrebbero abbandonare le informazioni in una posizione non protetta o perderle. Se sono necessarie password molto lunghe, le password non digitate potrebbero causare blocchi degli account e aumentare il volume delle chiamate del supporto tecnico. Se l'organizzazione ha problemi con le password dimenticate a causa di requisiti per la lunghezza della password, è consigliabile insegnare agli utenti informazioni sulle passphrase, che spesso sono più facili da ricordare e, a causa del numero maggiore di combinazioni di caratteri, molto più difficili da individuare.

Argomenti correlati