Password e passphrase Windows LAPS
Informazioni sul modo in cui vengono create password e passphrase per la Soluzione password amministratore locale di Windows (Windows LAPS).
Panoramica
Lo scopo principale di Windows LAPS è ruotare regolarmente la password di un account di Windows locale. È importante comprendere in che modo Windows LAPS genera password casuali (o passphrase casuali).
Set di caratteri password
Windows LAPS supporta cinque diverse impostazioni di complessità che possono essere usate per generare password casuali. L'impostazione dei criteri PasswordComplexity viene usata per scegliere quali set di caratteri vengono usati durante la creazione di una password.
| Impostazione PasswordComplexity | Descrizione | Set di caratteri |
|---|---|---|
| 1 | Lettere maiuscole | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" |
| 2 | Lettere maiuscole + lettere minuscole | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" "abcdefghijklmnopqrstuvwxyz" |
| 3 | Lettere maiuscole + lettere minuscole + numeri | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" "abcdefghijklmnopqrstuvwxyz" "0123456789" |
| 4 | Lettere maiuscole + lettere minuscole + numeri + caratteri speciali | "ABCDEFGHIJKLMNOPQRSTUVWXYZ" "abcdefghijklmnopqrstuvwxyz" "0123456789" ",.-+;!#&@{}[]$/()%" |
| 5 | Lettere grandi + lettere minuscole + numeri (migliore leggibilità) | "ABCDEFGHJKLMNPRSTUVWXYZ" "abcdefghijkmnpqrstuvwxyz" "23456789" "!#%+@:=?*" |
Quando si seleziona un'impostazione di complessità con più set di caratteri, Windows LAPS garantisce che la password risultante contenga almeno un carattere scelto in modo casuale da ogni set di caratteri.
La lunghezza delle password viene controllata usando l'impostazione dei criteri PasswordLength. Le password create da Windows LAPS per impostazione predefinita hanno una lunghezza di 14 caratteri e possono essere configurate in modo che siano ovunque da 8 a 64 caratteri.
L'impostazione cinque della complessità delle password equivale all'impostazione di complessità delle password quattro, con le modifiche seguenti apportate per migliorare la leggibilità ed evitare confusione. Le differenze tra l'impostazione quattro e l'impostazione cinque sono le seguenti:
- Rimuove le lettere 'I', 'O', 'Q', 'l' e 'o'
- Rimuove i numeri '0' e '1'
- Rimuove i simboli ',', '.', '&', '{', '}', '[', ']', '(', ')' e ';'
- Aggiunge i simboli ':', '=', '?' e '*'
Importante
L'impostazione PasswordComplexity di '5' è supportata solo in Windows 11 24H2, Windows Server 2025 e versioni successive. Non è necessario distribuire i controller di dominio di Windows Server 2025 per usare questa nuova impostazione.
Elenchi di parole passphrase
Windows LAPS supporta tre diverse impostazioni di complessità che possono essere usate per generare passphrase casuali. L'impostazione dei criteri PasswordComplexity viene usata per scegliere gli elenchi di parole usati durante la creazione di una passphrase:
| Impostazione PasswordComplexity | Descrizione | Numero di parole nell'elenco |
|---|---|---|
| 6 | Parole lunghe | 7776 |
| 7 | Parole brevi | 1276 |
| 8 | Parole brevi con prefissi univoci | 1276 |
La lunghezza delle passphrase viene controllata usando l'impostazione dei criteri PassphraseLength. Le passphrase create da Windows LAPS per impostazione predefinita sono sei parole di lunghezza e possono essere configurate in modo da essere ovunque da tre a 10 termini di lunghezza. Il primo carattere di ogni parola è sempre maiuscolo per migliorare la leggibilità. Nessuna punteggiatura o altri caratteri di divisione vengono usati tra le parole.
Esempio di passphrase creata con sei parole tratte dall'elenco "Parole lunghe":
SkiingProduceIdentifyStarlitOctaneDistress
Gli elenchi di parole passphrase sono stati tratti da "Deep Dive: EFF's New Wordlists for Random Passphrases" di Electronic Frontier Foundation e vengono usati con una licenza CC-BY-3.0 Attribuzione. Il contenuto specifico di tutti gli elenchi di parole passphrase di Windows LAPS può essere scaricato da Windows LAPS Elenchi di passphrase. Microsoft ha apportato lievi modifiche agli elenchi di parole originali; tutte le modifiche sono descritte in dettaglio negli elenchi scaricabili.
Importante
Il supporto della passphrase di Windows LAPS è supportato solo in Windows 11 24H2, Windows Server 2025 e versioni successive. Non è necessario distribuire controller di dominio di Windows Server 2025 per usare questa nuova impostazione.
Considerazioni sull'entropia
Windows LAPS crea password e passphrase veramente casuali (nessun pregiudizio umano è possibile). È quindi semplice calcolare i bit di entropia risultante per una password\passphrase di una determinata lunghezza. La tabella seguente elenca i bit di entropia risultanti in un set di esempi di lunghezze password\passphrase.
Le impostazioni di complessità delle password supportate sono elencate nella parte superiore della tabella e le lunghezze password\passphrase sono elencate in basso a sinistra. I valori di entropia per le impostazioni predefinite di lunghezza dei criteri sono in grassetto:
| Impostazione PasswordComplexity -> Lunghezza password o passphrase V |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
|---|---|---|---|---|---|---|---|---|
| 3 | 39 | 31 | 31 | |||||
| 4 | 52 | 41 | 41 | |||||
| 5 | 65 | 52 | 52 | |||||
| 6 | 78 | 62 | 62 | |||||
| 7 | 90 | 72 | 72 | |||||
| 8 | 38 | 46 | 48 | 51 | 48 | 103 | 83 | 83 |
| 9 | 42 | 51 | 54 | 57 | 54 | 116 | 93 | 93 |
| 10 | 47 | 57 | 60 | 63 | 60 | 129 | 103 | 103 |
| 11 | 52 | 63 | 65 | 70 | 66 | |||
| 12 | 56 | 68 | 71 | 76 | 72 | |||
| 13 | 61 | 74 | 77 | 82 | 78 | |||
| 14 | 66 | 80 | 83 | 89 | 84 | |||
| 20 | 94 | 114 | 119 | 126 | 120 | |||
| 40 | 188 | 228 | 238 | 253 | 240 | |||
| 60 | 282 | 342 | 357 | 379 | 360 |
Alla fine superiore degli intervalli di lunghezza consentiti, i livelli di entropia potrebbero essere considerati eccessivi per la maggior parte degli ambienti IT normali. Si consideri in genere un compromesso di sicurezza rispetto all'usabilità. Ad esempio, è difficile per gli esseri umani leggere e digitare password lunghe e complesse. Il passaggio alle passphrase è un modo utile per migliorare questi problemi mantenendo comunque una quantità ragionevole di entropia. Se ottimizzare la sicurezza è un problema fondamentale, è consigliabile prendere in considerazione protezioni alternative, ad esempio mantenere l'account gestito in uno stato disabilitato per impostazione predefinita.
Vedi anche
- Concetti chiave nella Soluzione password dell'amministratore locale di Windows
- Modalità di gestione degli account Windows LAPS
Passaggi successivi
Ora che si comprende come vengono create password e passphrase, vedere queste altre sezioni.