Le password devono essere conformi ai requisiti di complessità

Si applica a

  • Windows 10

Descrive le procedure consigliate, la posizione, i valori e le considerazioni sulla sicurezza per la password devono soddisfare le impostazioni dei criteri di sicurezza per i requisiti di complessità.

Informazioni di riferimento

Le password devono soddisfare i requisiti di complessità l'impostazione dei criteri determina se le password devono soddisfare una serie di linee guida considerate importanti per una password complessa. L'abilitazione di questa impostazione per i criteri richiede le password per soddisfare i requisiti seguenti:

  1. Le password potrebbero non contenere il valore samAccountName (nome account) dell'utente o l'intero displayName (valore nome completo). Entrambi i controlli non sono maiuscole/minuscole.

    SamAccountName viene controllato integralmente solo per determinare se fa parte della password. Se il valore samAccountName è di lunghezza inferiore a tre caratteri, il controllo viene ignorato. DisplayName viene analizzato per i delimitatori: virgole, punti, trattini o trattini, caratteri di sottolineatura, spazi, segni di cancelletto e linguette. Se uno di questi delimitatori viene trovato, il valore di displayName viene diviso e tutte le sezioni analizzate (token) vengono confermate per non essere incluse nella password. I token con meno di tre caratteri vengono ignorati e le sottostringhe dei token non vengono controllate. Ad esempio, il nome "Erin M. Hagens" è suddiviso in tre token: "Erin", "M" e "Hagens". Poiché il secondo token è lungo solo un carattere, viene ignorato. Di conseguenza, l'utente non può avere una password che include "Erin" o "Hagens" come sottostringa in un punto qualsiasi della password.

  2. La password contiene caratteri da tre delle categorie seguenti:

    • Lettere maiuscole delle lingue europee (da A A Z, con segni diacritici, caratteri greci e cirillici)
    • Lettere minuscole delle lingue europee (da a a z, Sharp-s, con segni diacritici, caratteri greci e cirillici)
    • Base 10 cifre (da 0 a 9)
    • Caratteri non alfanumerici (caratteri speciali): (~! @ # $% ^& * _-+ =' | \ \ (){}\ []:; "' <>,.? /) I simboli di valuta come l'euro o la sterlina britannica non vengono conteggiati come caratteri speciali per questa impostazione di criterio.
    • Qualsiasi carattere Unicode categorizzato come carattere alfabetico, ma non in maiuscolo o in minuscolo. Sono inclusi i caratteri Unicode delle lingue asiatiche.

I requisiti di complessità vengono applicati quando le password vengono modificate o create.

Le regole incluse nei requisiti di complessità delle password di Windows Server fanno parte di Passfilt. dll e non possono essere modificate direttamente.

L'abilitazione dell'impostazione predefinita Passfilt. dll può causare alcune chiamate aggiuntive per gli account di supporto per i blocchi, perché gli utenti potrebbero non essere usati per avere password che contengono caratteri diversi da quelli trovati nell'alfabeto. Questa impostazione dei criteri è tuttavia abbastanza libera da consentire a tutti gli utenti di rispettare i requisiti con una curva di apprendimento minore.

Altre impostazioni che possono essere incluse in un file Passfilt. dll personalizzato sono l'uso di caratteri non superiori. I caratteri della riga superiore sono quelli digitati tenendo premuto il tasto MAIUSC e digitando una delle cifre from1 through10.

Valori possibili

  • Abilitato
  • Disabilitato
  • Non definito

Procedure consigliate

Impostare le password deve soddisfare i requisiti di complessità per abilitati. Questa impostazione dei criteri, combinata con una lunghezza minima della password OF8, garantisce che esistano almeno 218.340.105.584.896 diverse possibilità per una singola password. Questo rende difficile un attacco di forza bruta, ma comunque non impossibile.

L'uso delle combinazioni di caratteri di tasti ALT può notevolmente migliorare la complessità di una password. Tuttavia, richiedere che tutti gli utenti di un'organizzazione aderiscano ai requisiti di password più severi possono comportare utenti infelici e un help desk estremamente affollato. Valutare l'implementazione di un requisito nell'organizzazione per usare i caratteri ALT nell'intervallo da 0128 a 0159 come parte di tutte le password di amministratore. I caratteri ALT esterni a questo intervallo possono rappresentare caratteri alfanumerici standard che non aggiungono ulteriore complessità alla password.

Le password che contengono solo caratteri alfanumerici sono facili da compromettere usando gli strumenti disponibili pubblicamente. Per evitare questo problema, le password devono contenere caratteri aggiuntivi e soddisfare i requisiti di complessità.

Posizione

Criteri di Configuration\Windows Settings\Security Settings\Account Policies\Password

Valori predefiniti

Nella tabella seguente sono elencati i valori dei criteri predefiniti effettivi ed effettivi. I valori predefiniti sono elencati anche nella pagina delle proprietà del criterio.

Oggetto Criteri di gruppo o tipo di server (GPO) Valore predefinito
Criteri dominio predefiniti Abilitato
Criteri di Domain controller predefiniti Abilitato
Impostazioni predefinite del server autonomo Disabilitato
Impostazioni predefinite valide per domain controller Abilitato
Impostazioni predefinite effettive del server membri Abilitato
Impostazioni di GPO valide per i computer client Disabilitato

Considerazioni sulla sicurezza

Questa sezione descrive come un autore di un attacco può approfittare di una funzionalità o di una configurazione, come implementare contromisure e le possibili conseguenze negative dell'implementazione di contromisure.

Vulnerabilità

Le password che contengono solo caratteri alfanumerici sono estremamente facili da individuare con diversi strumenti disponibili pubblicamente.

Contromisura

La configurazione delle password deve soddisfare i requisiti di complessità dei criteri per consentire agli utenti di usare una varietà di caratteri nelle proprie password.

Se combinata con una lunghezza minima della password di 8, questa impostazione del criterio garantisce che il numero di possibilità diverse per una singola password sia così grande da risultare difficile (ma non impossibile) per il successo di un attacco di forza bruta. Se l'impostazione del criterio lunghezza minima password viene aumentata, aumenta anche l'intervallo di tempo medio necessario per un attacco riuscito.

Impatto potenziale

Se viene mantenuta la configurazione della complessità delle password predefinite, potrebbero verificarsi ulteriori chiamate per gli account di supporto bloccati perché gli utenti potrebbero non essere abituati alle password che contengono caratteri non alfabetici o potrebbero avere problemi di immissione password che contengono caratteri accentati o simboli sulle tastiere con layout diversi. Tuttavia, tutti gli utenti devono essere in grado di soddisfare i requisiti di complessità con difficoltà minime.

Se l'organizzazione ha requisiti di sicurezza più severi, è possibile creare una versione personalizzata del file Passfilt. dll che consenta l'uso di regole arbitrariamente complesse per la forza delle password. Ad esempio, un filtro di password personalizzato può richiedere l'uso di simboli di righe non superiori. I simboli di riga superiore sono quelli che richiedono di tenere premuto MAIUSC e quindi premere una delle cifre comprese tra 1 e 0. Un filtro password personalizzato può anche eseguire un controllo del dizionario per verificare che la password proposta non contenga parole o frammenti di dizionario comuni.

L'uso delle combinazioni di caratteri di tasti ALT può notevolmente migliorare la complessità di una password. Tuttavia, i requisiti di password più severi possono comportare richieste aggiuntive per il supporto tecnico. In alternativa, l'organizzazione potrebbe considerare un requisito per tutte le password di amministratore per l'uso di caratteri ALT nell'intervallo 0128-0159. I caratteri ALT esterni a questo intervallo possono rappresentare caratteri alfanumerici standard che non aggiungono ulteriore complessità alla password.

Argomenti correlati