Le password devono essere conformi ai requisiti di complessità

Si applica a

  • Windows 10

Descrive le procedure consigliate, la posizione, i valori e le considerazioni sulla sicurezza per l'impostazione dei criteri di sicurezza per i requisiti di complessità .

Riferimento

L'impostazione dei criteri Password deve soddisfare i requisiti di complessità determina se le password devono soddisfare una serie di linee guida per password complesse. Se abilitata, questa impostazione richiede che le password soddisfino i requisiti seguenti:

  1. Le password potrebbero non contenere il valore samAccountName (Nome account) dell'utente o l'intero displayName (valore Full Name). Entrambi i controlli non fanno distinzione tra maiuscole e minuscole.

    SamAccountName viene archiviato nella sua interezza solo per determinare se fa parte della password. Se il valore di samAccountName è inferiore a tre caratteri, questo controllo viene ignorato. DisplayName viene analizzato per i delimitatori: virgole, punti, trattini o trattini, caratteri di sottolineatura, spazi, cancelletto e tabulazioni. Se uno di questi delimitatori viene trovato, displayName viene diviso e tutte le sezioni analizzate (token) vengono confermate per non essere incluse nella password. I token più brevi di tre caratteri vengono ignorati e le sottostringhe dei token non vengono controllate. Ad esempio, il nome "Erin M. Hagens" viene suddiviso in tre token: "Erin", "M" e "Hagens". Poiché il secondo token è lungo solo un carattere, viene ignorato. Pertanto, questo utente non poteva avere una password che includesse "erin" o "hagens" come sottostringa in qualsiasi punto della password.

  2. La password contiene caratteri di tre delle categorie seguenti:

    • Lettere maiuscole delle lingue europee (da A a Z, con segni diacritici, caratteri greci e cirillici)
    • Lettere minuscole delle lingue europee (da a a a z, sharp-s, con segni diacritici, caratteri greci e cirillici)
    • Cifre di base 10 (da 0 a 9)
    • Caratteri non alfanumerici (caratteri speciali): (~!@#$%^&*_-+='|\(){}[]:;"' <>,.? /) I simboli di valuta, ad esempio euro o sterlina britannica, non vengono conteggiati come caratteri speciali per questa impostazione di criterio.
    • Qualsiasi carattere Unicode categorizzato come carattere alfabetico ma non maiuscolo o minuscolo. Questo gruppo include caratteri Unicode delle lingue asiatiche.

I requisiti di complessità vengono applicati quando le password vengono modificate o create.

Le regole incluse nei requisiti di complessità delle password di Windows Server fanno parte di Passfilt.dll e non possono essere modificate direttamente.

Se abilitata, il Passfilt.dll predefinito può causare altre chiamate al supporto tecnico per gli account bloccati, perché gli utenti vengono usati per le password che contengono solo caratteri nell'alfabeto. Ma questa impostazione di criterio è abbastanza liberale da consentire a tutti gli utenti di abituarsi.

Altre impostazioni che possono essere incluse in un Passfilt.dll personalizzato sono l'uso di caratteri di riga non superiore. Per digitare caratteri di riga superiore, tenere premuto MAIUSC e premere uno dei tasti sulla riga numerica della tastiera (da 1 a 9 e 0).

Valori possibili

  • Abilitato
  • Disabilitato
  • Non definito

Procedure consigliate

Suggerimento

Per le procedure consigliate più recenti, vedere Indicazioni sulle password.

Impostare Le password devono soddisfare i requisiti di complessità su Abilitato. Questa impostazione di criterio, combinata con una lunghezza minima della password pari a 8, garantisce che vi siano almeno 159.238.157.238.528 possibilità diverse per una singola password. Questa impostazione rende difficile un attacco di forza bruta, ma non è ancora impossibile.

L'uso di combinazioni di caratteri alt può migliorare notevolmente la complessità di una password. Tuttavia, richiedere a tutti gli utenti di un'organizzazione di rispettare requisiti di password così rigorosi potrebbe causare utenti insoddisfatti e un help desk sovraccarico. Prendere in considerazione l'implementazione di un requisito nell'organizzazione per l'uso di caratteri ALT nell'intervallo compreso tra 0128 e 0159 come parte di tutte le password di amministratore. I caratteri ALT al di fuori di tale intervallo possono rappresentare caratteri alfanumerici standard che non aggiungono maggiore complessità alla password.

Le password brevi che contengono solo caratteri alfanumerici sono facilmente compromesse usando strumenti disponibili pubblicamente. Per evitare questa vulnerabilità, le password devono contenere altri caratteri e/o soddisfare i requisiti di complessità.

Posizione

Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri account\Criteri password

Valori predefiniti

Nella tabella seguente sono elencati i valori dei criteri predefiniti effettivi ed effettivi. I valori predefiniti sono elencati anche nella pagina delle proprietà del criterio.

Tipo di server o oggetto Criteri di gruppo (OGGETTO Criteri di gruppo) Valore predefinito
Criteri di dominio predefiniti Abilitato
Criteri del controller di dominio predefiniti Abilitato
Impostazioni predefinite del server autonomo Disabilitato
Impostazioni predefinite valide per il controller di dominio Abilitato
Impostazioni predefinite valide per il server membro Abilitato
Impostazioni predefinite dell'oggetto Criteri di gruppo valide nei computer client Disabilitato

Considerazioni sulla sicurezza

Questa sezione descrive come un autore di un attacco può approfittare di una funzionalità o di una configurazione, come implementare contromisure e le possibili conseguenze negative dell'implementazione di contromisure.

Vulnerabilità

Le password che contengono solo caratteri alfanumerici sono facili da individuare con diversi strumenti disponibili pubblicamente.

Contromisura

Configurare le password deve soddisfare l'impostazione dei criteri dei requisiti di complessità su Abilitato e consigliare agli utenti di usare vari caratteri nelle password.

Se combinata con una lunghezza minima della password pari a 8, questa impostazione dei criteri garantisce che il numero di diverse possibilità per una singola password sia così grande che è difficile (ma possibile) che un attacco di forza bruta abbia esito positivo. Se l'impostazione del criterio Lunghezza minima password viene aumentata, aumenta anche la quantità media di tempo necessaria per un attacco riuscito.

Impatto potenziale

Se viene mantenuta la configurazione predefinita per la complessità delle password, potrebbero verificarsi più chiamate al supporto tecnico per gli account bloccati perché gli utenti potrebbero non essere usati per le password che contengono caratteri non alfabetici o potrebbero avere problemi nell'immissione di password che contengono caratteri accentati o simboli su tastiere con layout diversi. Tuttavia, tutti gli utenti devono essere in grado di seguire il requisito di complessità con una difficoltà minima.

Se l'organizzazione ha requisiti di sicurezza più rigorosi, è possibile creare una versione personalizzata del file Passfilt.dll che consenta l'uso di regole di complessità delle password arbitrariamente complesse. Ad esempio, un filtro password personalizzato potrebbe richiedere l'uso di simboli di riga non superiore. I simboli di riga superiore sono quei simboli che richiedono di premere e tenere premuto MAIUSC e quindi premere uno dei tasti sulla riga numerica della tastiera, da 1 a 9 e 0. Un filtro password personalizzato potrebbe anche eseguire un controllo del dizionario per verificare che la password proposta non contenga parole o frammenti di dizionario comuni.

L'uso di combinazioni di caratteri alt può migliorare notevolmente la complessità di una password. Tuttavia, questi rigorosi requisiti di password potrebbero comportare più richieste di help desk. In alternativa, l'organizzazione potrebbe considerare un requisito per tutte le password di amministratore di usare i caratteri ALT nell'intervallo 0128-0159. I caratteri ALT al di fuori di questo intervallo possono rappresentare caratteri alfanumerici standard che non aggiungerebbero ulteriore complessità alla password.

Articoli correlati