A senha deve atender aos requisitos de complexidade

Aplicável a

  • Windows 10

Descreve as práticas recomendadas, o local, os valores e as considerações de segurança para a configuração de política de segurança de requisitos de complexidade devem ser atendidos.

Referência

A configuração de política as senhas devem atender aos requisitos de complexidade determina se as senhas devem atender a uma série de diretrizes consideradas importantes para uma senha forte. Habilitar essa configuração de política requer senhas para atender aos seguintes requisitos:

  1. As senhas podem não conter o valor samAccountName (nome da conta) do usuário ou o displayName inteiro (valor completo do nome). Ambas as verificações não diferenciam maiúsculas de minúsculas.

    O samAccountName é verificado integralmente apenas para determinar se ele faz parte da senha. Se o samAccountName tiver menos de três caracteres, essa verificação será ignorada. O displayName é analisado para delimitadores: vírgulas, pontos, traços ou hifens, sublinhados, espaços, sinais de libra e tabulações. Se qualquer um desses delimitadores for encontrado, o displayName será dividido e todas as seções analisadas (tokens) serão confirmadas para não serem incluídas na senha. Tokens com menos de três caracteres são ignorados, e subcadeias de caracteres dos tokens não são verificados. Por exemplo, o nome "Erin M. Hagens" é dividido em três símbolos: "Erin", "M" e "Hagens". Como o segundo token tem apenas um caractere, ele é ignorado. Portanto, esse usuário não pôde ter uma senha que incluisse "Erin" ou "Hagens" como uma subcadeia de caracteres em qualquer lugar da senha.

  2. A senha contém caracteres de três das seguintes categorias:

    • Letras maiúsculas de idiomas europeus (A a Z, com marcas diacrítico, caracteres gregos e cirílico)
    • Letras minúsculas de idiomas europeus (a a z, sustenido-s, com marcas diacrítico, caracteres gregos e cirílico)
    • Dígitos de base 10 (de 0 a 9)
    • Caracteres não alfanuméricos (caracteres especiais): (~! @ # $% ^& * _-+ = ' | \ \ (){}\ []:; "' <>,.? /) Símbolos de moeda como o euro ou a libra esterlina não são contados como caracteres especiais para essa configuração de política.
    • Qualquer caractere Unicode que é Categorizado como um caractere alfabético, mas não está em maiúsculas ou minúsculas. Isso inclui caracteres Unicode dos idiomas asiáticos.

Os requisitos de complexidade são aplicados quando as senhas são alteradas ou criadas.

As regras incluídas nos requisitos de complexidade da senha do Windows Server fazem parte do passfilt. dll e não podem ser modificadas diretamente.

Habilitar o passfilt. dll padrão pode causar algumas chamadas adicionais de suporte técnico para contas bloqueadas, pois os usuários podem não ser usados para ter senhas que contenham caracteres diferentes dos encontrados no alfabeto. No entanto, essa configuração de política é liberal o suficiente para que todos os usuários possam obedecer aos requisitos com uma pequena curva de aprendizagem.

Configurações adicionais que podem ser incluídas em um passfilt. dll personalizado são o uso de caracteres que não são de linha superior. Os caracteres de linha superior são aqueles digitados mantendo a tecla SHIFT pressionada e digitando qualquer um dos dígitos from1 through10.

Valores possíveis

  • Habilitado
  • Desabilitado
  • Não definido

Práticas recomendadas

Definir senhas devem atender aos requisitos de complexidade como habilitado. Essa configuração de política, combinada com um comprimento mínimo de senha of8, garante a existência de pelo menos 218.340.105.584.896 possibilidades diferentes para uma única senha. Isso dificulta um ataque de força bruta, mas ainda não é impossível.

O uso de combinações de caracteres de teclas ALT pode melhorar significativamente a complexidade de uma senha. No entanto, exigir que todos os usuários de uma organização sigam alguns requisitos de senha rigorosos podem resultar em usuários insatisfeitos e um suporte técnico extremamente ocupado. Considere a implementação de um requisito em sua organização para usar caracteres ALT no intervalo de 0128 a 0159 como parte de todas as senhas de administrador. (Os caracteres ALT fora desse intervalo podem representar caracteres alfanuméricos padrão que não adicionam mais complexidade à senha.)

Senhas que contêm apenas caracteres alfanuméricos são fáceis de serem comprometidas usando-se ferramentas disponíveis publicamente. Para evitar isso, as senhas devem conter caracteres adicionais e atender aos requisitos de complexidade.

Localização

Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy

Valores padrão

A tabela a seguir lista os valores de política padrão real e efetivo. Os valores padrão também são listados na página de propriedades da política.

Tipo de servidor ou objeto de política de grupo (GPO) Valor padrão
Política de domínio padrão Habilitado
Política de controlador de domínio padrão Habilitado
Configurações padrão de servidor autônomo Desabilitado
Configurações padrão efetivas de controlador de domínio Habilitado
Configurações padrão efetivas do servidor membro Habilitado
Configurações padrão de GPO efetivo em computadores cliente Desabilitado

Considerações de segurança

Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação da contramedida.

Vulnerabilidade

Senhas que contenham apenas caracteres alfanuméricos são extremamente fáceis de descobrir com várias ferramentas disponíveis publicamente.

Contramedida

Configurar a configuração de política as senhas devem atender aos requisitos de complexidade como habilitado e aconselhar os usuários a usar uma variedade de caracteres em suas senhas.

Quando combinado com um comprimento de senha mínimo de 8, essa configuração de política garante que o número de possibilidades diferentes para uma única senha seja tão grande que seja difícil (mas não impossível) para que um ataque de força bruta seja bem-sucedido. (Se a configuração de política tamanho mínimo da senha for aumentada, o tempo médio necessário para um ataque bem-sucedido também aumentará.)

Impacto potencial

Se a configuração de complexidade de senha padrão for mantida, outras chamadas de suporte técnico para contas bloqueadas podem ocorrer porque os usuários podem não estar acostumados com senhas que contenham caracteres não alfabéticos ou podem ter problemas para entrar senhas que contêm caracteres acentuados ou símbolos em teclados com layouts diferentes. No entanto, todos os usuários devem ser capazes de cumprir a necessidade de complexidade com dificuldade mínima.

Se a sua organização tiver requisitos de segurança mais estritos, você poderá criar uma versão personalizada do arquivo passfilt. dll que permite o uso de regras de força de senha arbitrárias complexas. Por exemplo, um filtro de senha personalizado pode exigir o uso de símbolos de linha não superior. (Os símbolos de linha superior são aqueles que exigem que você pressione e mantenha pressionada a tecla SHIFT e, em seguida, pressione qualquer um dos dígitos entre 1 e 0.) Um filtro de senha personalizado também pode executar uma verificação de dicionário para verificar se a senha sugerida não contém palavras ou fragmentos comuns de dicionário.

O uso de combinações de caracteres de teclas ALT pode melhorar significativamente a complexidade de uma senha. No entanto, esses requisitos rigorosos de senha podem resultar em solicitações adicionais de suporte técnico. Como alternativa, sua organização pode considerar um requisito para todas as senhas de administrador usar caracteres ALT no intervalo 0128 – 0159. (Os caracteres ALT fora desse intervalo podem representar caracteres alfanuméricos padrão que não adicionam mais complexidade à senha.)

Tópicos relacionados