Le password devono essere conformi ai requisiti di complessità

Si applica a

  • Windows 10

Descrive le procedure consigliate, la posizione, i valori e le considerazioni sulla sicurezza **** per l'impostazione dei criteri di sicurezza Requisiti di complessità.

Riferimento

L'impostazione del criterio Password deve soddisfare i requisiti di complessità determina se le password devono soddisfare una serie di linee guida per le password complesse. Se abilitata, questa impostazione richiede che le password soddisfino i requisiti seguenti:

  1. Le password non possono contenere il valore samAccountName (Nome account) dell'utente o l'intero displayName (valore Nome completo). Per entrambi i controlli non viene fatto distinzione tra maiuscole e minuscole.

    SamAccountName viene archiviato per intero solo per determinare se fa parte della password. Se samAccountName ha meno di tre caratteri, questo controllo viene ignorato. DisplayName viene analizzato per i delimitatori: virgole, punti, trattini o trattini, caratteri di sottolineatura, spazi, cancelletto e tabulazioni. Se viene trovato uno di questi delimitatori, displayName viene diviso e tutte le sezioni analizzate (token) vengono confermate di non essere incluse nella password. I token più brevi di tre caratteri vengono ignorati e le sottostringhe dei token non vengono controllate. Ad esempio, il nome "Erin M. Hagens" è diviso in tre token: "Erin", "M" e "Hagens". Poiché il secondo token è lungo un solo carattere, viene ignorato. Pertanto, questo utente non poteva avere una password che includeva "erin" o "hagens" come sottostringa in qualsiasi punto della password.

  2. La password contiene caratteri di tre delle categorie seguenti:

    • Lettere maiuscole delle lingue europee (da A a Z, con segni diacritici, greco e cirillico)
    • Lettere minuscole delle lingue europee (da a a z, sharp-s, con segni diacritici, greco e cirillico)
    • Cifre in base 10 (da 0 a 9)
    • Caratteri non alfanumerici (caratteri speciali): (~!@#$%^&*_-+='|\(){}[]:;"' <>,.? /) I simboli di valuta come l'euro o la sterlina inglese non vengono conteggiati come caratteri speciali per questa impostazione di criterio.
    • Qualsiasi carattere Unicode classificato come carattere alfabetico ma non maiuscolo o minuscolo. Questo gruppo include caratteri Unicode delle lingue asiatiche.

I requisiti di complessità vengono applicati quando le password vengono modificate o create.

Le regole incluse nei requisiti di complessità delle password di Windows Server fanno parte di Passfilt.dll e non possono essere modificate direttamente.

Se abilitata, la Passfilt.dll predefinita potrebbe causare altre chiamate al supporto tecnico per gli account bloccati, perché gli utenti vengono utilizzati per le password che contengono solo caratteri che sono nell'alfabeto. Tuttavia, questa impostazione dei criteri è abbastanza semplice da consentire a tutti gli utenti di abituarsi.

Altre impostazioni che possono essere incluse in un Passfilt.dll personalizzato sono l'uso di caratteri non di riga superiore. Per digitare i caratteri di riga superiore, tenere premuto MAIUSC e premere uno dei tasti nella riga del numero della tastiera (da 1 a 9 e 0).

Valori possibili

  • Abilitato
  • Disabilitato
  • Non definito

Procedure consigliate

Suggerimento

Per le procedure consigliate più recenti, vedere Password Guidance.

Impostare Password deve soddisfare i requisiti di complessità su Abilitato. Questa impostazione dei criteri, combinata con una lunghezza minima della password pari a 8, garantisce che siano disponibili almeno 159.238.157.238.528 diverse possibilità per una singola password. Questa impostazione rende un attacco di forza bruta difficile, ma ancora non impossibile.

L'uso di combinazioni di caratteri ALT può migliorare notevolmente la complessità di una password. Tuttavia, richiedere a tutti gli utenti di un'organizzazione di rispettare requisiti di password così stringenti potrebbe causare utenti insoddisfatti e un Help Desk troppo lavorato. Prendere in considerazione l'implementazione di un requisito nell'organizzazione per l'utilizzo di caratteri ALT nell'intervallo compreso tra 0128 e 0159 come parte di tutte le password dell'amministratore. I caratteri ALT esterni a tale intervallo possono rappresentare caratteri alfanumerici standard che non aggiungono maggiore complessità alla password.

Le password brevi contenenti solo caratteri alfanumerici sono facili da compromettere utilizzando gli strumenti disponibili pubblicamente. Per evitare questo problema, le password devono contenere caratteri aggiuntivi e/o soddisfare i requisiti di complessità.

Percorso

Configurazione computer\Windows Impostazioni\Criteri Impostazioni\Criteri account\Criteri password

Valori predefiniti

Nella tabella seguente sono elencati i valori dei criteri predefiniti effettivi ed effettivi. I valori predefiniti sono elencati anche nella pagina delle proprietà del criterio.

Tipo di server o oggetto Criteri di gruppo Valore predefinito
Criterio di dominio predefinito Abilitato
Criterio controller di dominio predefinito Abilitato
Impostazioni predefinite server autonomo Disabilitato
Impostazioni predefinite effettive del controller di dominio Abilitato
Impostazioni predefinite effettive del server membro Abilitato
Impostazioni predefinite dell'oggetto Criteri di gruppo effettive nei computer client Disabilitato

Considerazioni sulla sicurezza

Questa sezione descrive come un autore di un attacco può approfittare di una funzionalità o di una configurazione, come implementare contromisure e le possibili conseguenze negative dell'implementazione di contromisure.

Vulnerabilità

Le password che contengono solo caratteri alfanumerici sono facili da individuare con diversi strumenti disponibili pubblicamente.

Contromisura

Configurare l'impostazione del criterio Le password devono soddisfare i requisiti di complessità su Abilitato e consigliare agli utenti di utilizzare un'ampia gamma di caratteri nelle password.

Se combinata con una lunghezza minima della password pari a 8, questa impostazione dei criteri garantisce che il numero di possibilità diverse per una singola password sia così grande che è difficile (ma possibile) che un attacco di forza bruta riesca. Se l'impostazione del criterio Lunghezza minima password viene aumentata, aumenta anche il tempo medio necessario per un attacco riuscito.

Impatto potenziale

Se viene mantenuta la configurazione predefinita per la complessità delle password, è possibile che si verifichino più chiamate al supporto tecnico per gli account bloccati perché gli utenti potrebbero non essere utilizzati per le password che contengono caratteri non alfabetici oppure potrebbero verificarsi problemi nell'immissione di password contenenti caratteri accentati o simboli su tastiere con layout diversi. Tuttavia, tutti gli utenti dovrebbero essere in grado di seguire il requisito di complessità con difficoltà minime.

Se l'organizzazione ha requisiti di sicurezza più stringenti, è possibile creare una versione personalizzata del file Passfilt.dll che consenta l'utilizzo di regole di complessità arbitraria delle password. Ad esempio, un filtro password personalizzato potrebbe richiedere l'uso di simboli non di riga superiore. I simboli di riga superiore sono i simboli che richiedono di tenere premuto MAIUSC e quindi di premere uno qualsiasi dei tasti nella riga del numero della tastiera, da 1 a 9 e 0. Un filtro password personalizzato può anche eseguire un controllo del dizionario per verificare che la password proposta non contenga parole o frammenti comuni del dizionario.

L'uso di combinazioni di caratteri ALT può migliorare notevolmente la complessità di una password. Tuttavia, requisiti di password così stringenti potrebbero comportare più richieste di Help Desk. In alternativa, l'organizzazione potrebbe considerare un requisito per tutte le password dell'amministratore di utilizzare i caratteri ALT nell'intervallo 0128-0159. I caratteri ALT esterni a questo intervallo possono rappresentare caratteri alfanumerici standard che non aggiungono maggiore complessità alla password.

Articoli correlati