Lunghezza minima password

Ambito di applicazione

  • Windows 10

In questo articolo vengono descritte le procedure consigliate, la posizione, i valori, la gestione dei criteri e le considerazioni sulla sicurezza per l'impostazione del criterio di sicurezza Lunghezza minima password .

Riferimento

L'impostazione del criterio Lunghezza minima password determina il numero minimo di caratteri che possono creare una password per un account utente. È possibile impostare un valore compreso tra 1 e 14 caratteri oppure stabilire che non è necessaria alcuna password impostando il numero di caratteri su 0.

Valori possibili

  • Numero di caratteri specificato dall'utente compreso tra 0 e 14
  • Non definito

Procedure consigliate

Impostare Lunghezza minima password su almeno un valore pari a 14. Se il numero di caratteri è impostato su 0, non è necessaria alcuna password. Nella maggior parte degli ambienti, è consigliabile utilizzare una password di otto caratteri perché è sufficientemente lunga da garantire una sicurezza adeguata e comunque abbastanza breve da consentire agli utenti di ricordare facilmente. Al momento non è supportata una lunghezza minima della password maggiore di 14. Questo valore consente di fornire una difesa adeguata contro un attacco di forza bruta. L'aggiunta di requisiti di complessità consente di ridurre la possibilità di un attacco al dizionario. Per altre info, vedi La password deve soddisfare i requisiti di complessità.

L'autorizzazione di password brevi riduce la sicurezza perché le password brevi possono essere facilmente interrotte con strumenti che emettono dizionari o attacchi di forza bruta contro le password. La richiesta di password molto lunghe può comportare la diserzione delle password che potrebbero causare blocchi dell'account e aumentare il volume delle chiamate al supporto tecnico.

Inoltre, richiedere password estremamente lunghe può effettivamente ridurre la sicurezza di un'organizzazione perché gli utenti potrebbero essere più propensi a annotare le password per evitare di dimenticarle. Tuttavia, se agli utenti viene insegnato di poter usare le passphrase (frasi come "Voglio bere un frullato da $5"), è molto più probabile che si ricordino.

Percorso

Configurazione computer\Windows Impostazioni\Criteri Impostazioni\Criteri account\Criteri password

Valori predefiniti

Nella tabella seguente sono elencati i valori dei criteri predefiniti effettivi ed effettivi. I valori predefiniti sono elencati anche nella pagina delle proprietà del criterio.

Tipo di server o Criteri di gruppo oggetto Criteri di gruppo Valore predefinito
Criterio di dominio predefinito Sette caratteri
Criterio controller di dominio predefinito Non definito
Impostazioni predefinite server autonomo Zero caratteri
Impostazioni predefinite effettive del controller di dominio Sette caratteri
Impostazioni predefinite effettive del server membro Sette caratteri
Impostazioni predefinite dell'oggetto Criteri di gruppo effettive nei computer client Zero caratteri

Gestione dei criteri

In questa sezione vengono descritte le funzionalità, gli strumenti e le linee guida per la gestione di questo criterio.

Richiesta di riavvio

Nessuna. Le modifiche a questo criterio diventano effettive senza il riavvio del dispositivo quando vengono salvate in locale o distribuite tramite Criteri di gruppo.

Considerazioni sulla sicurezza

Questa sezione descrive come un autore di un attacco può approfittare di una funzionalità o di una configurazione, come implementare contromisure e le possibili conseguenze negative dell'implementazione di contromisure.

Vulnerabilità

I tipi di attacchi alle password includono attacchi al dizionario (che tentano di usare parole e frasi comuni) e attacchi di forza bruta (che provano ogni possibile combinazione di caratteri). Inoltre, a volte gli utenti malintenzionati tentano di ottenere il database degli account in modo da poter utilizzare gli strumenti per individuare gli account e le password.

Contromisura

Configurare l'impostazione del criterio Lunghezza minima password su un valore pari o superiore a 8. Se il numero di caratteri è impostato su 0, non sarà necessaria alcuna password.

Nella maggior parte degli ambienti è consigliabile utilizzare una password di otto caratteri perché è sufficiente per garantire una sicurezza adeguata, ma non è troppo difficile da ricordare facilmente per gli utenti. Questa configurazione fornisce una difesa adeguata contro un attacco di forza bruta. L'utilizzo dell'impostazione del criterio Password deve soddisfare i requisiti di complessità oltre all'impostazione Lunghezza minima password consente di ridurre la possibilità di un attacco al dizionario.

Nota

Alcune giurisdizioni hanno stabilito requisiti legali per la lunghezza delle password nell'ambito della definizione delle normative di sicurezza.

Impatto potenziale

I requisiti per le password estremamente lunghe possono effettivamente ridurre la sicurezza di un'organizzazione perché gli utenti potrebbero lasciare le informazioni in una posizione non protetta o perderla. Se sono necessarie password molto lunghe, le password non immesse potrebbero causare blocchi dell'account e aumentare il volume delle chiamate al supporto tecnico. Se l'organizzazione ha problemi con le password dimenticate a causa dei requisiti di lunghezza delle password, è consigliabile insegnare agli utenti le passphrase, che spesso sono più facili da ricordare e, a causa del numero maggiore di combinazioni di caratteri, molto più difficile da individuare.

Argomenti correlati