A senha deve atender aos requisitos de complexidade

Aplica-se a:

  • Windows 10

Descreve as práticas recomendadas, a localização, os valores e as considerações de segurança para a configuração de política de segurança A senha deve atender os requisitos de complexidade.

Referência

A configuração de política Senhas deve atender aos requisitos de complexidade determina se as senhas devem atender a uma série de diretrizes de senha forte. Quando habilitada, essa configuração requer senhas para atender aos seguintes requisitos:

  1. As senhas não podem conter o valor samAccountName (Nome da Conta) do usuário ou displayName inteiro (valor de Nome Completo). Ambas as verificações não diferenciam maiúsculas de minúsculas.

    O samAccountName é verificado em sua totalidade apenas para determinar se ele faz parte da senha. Se o samAccountName tiver menos de três caracteres, essa verificação será ignorada. O displayName é analisado para os delimitadores: vírgulas, pontos, traços ou hifens, sublinhados, espaços, sinais de libra e guias. Se algum desses delimitadores for encontrado, o displayName será dividido e todas as seções analisadas (tokens) serão confirmadas para não serem incluídas na senha. Tokens com menos de três caracteres são ignorados e as subcadeias de caracteres dos tokens não são verificadas. Por exemplo, o nome "Erin M. Hagens" é dividido em três tokens: "Erin", "M" e "Hagens". Como o segundo token tem apenas um caractere de comprimento, ele é ignorado. Portanto, esse usuário não poderia ter uma senha que inclui "erin" ou "hagens" como uma subcadeia de caracteres em qualquer lugar na senha.

  2. A senha contém caracteres de três das seguintes categorias:

    • Letras maiúsculas de idiomas europeus (A a Z, com marcas diacríticas, caracteres gregos e cirílicos)
    • Letras minúsculas de idiomas europeus (a a z, scharfes S com marcas diacríticas, caracteres gregos e cirílicos)
    • Base de 10 dígitos (0 a 9)
    • Caracteres não alfanuméricos (caracteres especiais): (~!@#$%^&*_-+='|\(){}[]:;"' <>,.? /) Símbolos de moeda como o Euro ou a Libra Britânica não são contados como caracteres especiais para essa configuração de política.
    • Qualquer caractere Unicode categorizado como um caractere alfabético, mas que não seja maiúsculo ou minúsculo. Esse grupo inclui caracteres Unicode de idiomas asiáticos.

Os requisitos de complexidade são impostos quando as senhas são alteradas ou criadas.

As regras incluídas nos requisitos de complexidade de senha do Windows Server fazem parte do Passfilt.dll e não podem ser modificadas diretamente.

Quando habilitada, o Passfilt.dll padrão pode causar mais algumas chamadas de Suporte Técnico para contas bloqueadas, pois os usuários são usados para senhas que contêm apenas caracteres que estão no alfabeto. Mas essa configuração de política é suficiente para que todos os usuários se familiarizem com ela.

Outras configurações que podem ser incluídas em um Passfilt.dll personalizado são o uso de caracteres que não são de linha superior. Para digitar caracteres de linha superior, mantenha pressionada a tecla SHIFT e pressione uma das teclas na linha de número do teclado (de 1 a 9 e 0).

Valores possíveis

  • Habilitada
  • Desabilitada
  • Não definido

Práticas recomendadas

Dica

Para obter as práticas recomendadas mais recentes, consulte Diretrizes de senha.

Definir As senhas devem atender aos requisitos de complexidadecomo Habilitada. Essa configuração de política, combinada com um comprimento mínimo de senha de 8, garante que haja pelo menos 159.238.157.238.528 possibilidades diferentes para uma única senha. Essa configuração dificulta um ataque de força bruta, mas ainda assim não é impossível.

O uso de combinações de caracteres de tecla ALT pode melhorar muito a complexidade de uma senha. No entanto, exigir que todos os usuários em uma organização cumpram esses requisitos de senhas rígidos pode resultar em usuários insatisfeitos e um Suporte Técnico sobrecarregado. Considere implementar um requisito em sua organização para usar caracteres ALT no intervalo de 0128 a 0159 como parte de todas as senhas de administrador. (Caracteres ALT fora desse intervalo podem representar caracteres alfanuméricos padrão que não adicionam mais complexidade à senha.)

Senhas curtas que contêm apenas caracteres alfanuméricos são fáceis de serem comprometidas usando ferramentas disponíveis publicamente. Para evitar essa vulnerabilidade, as senhas devem conter caracteres adicionais e/ou atender aos requisitos de complexidade.

Location

Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas de Conta\Política de Senha

Valores padrão

A tabela a seguir lista os valores de política padrão reais e efetivos. Os valores padrão também são listados na página de propriedades da política.

Tipo de servidor ou Objeto de Política de Grupo (GPO) Valor padrão
Política de domínio padrão Habilitada
Política de controlador de domínio padrão Habilitado
Configurações padrão do servidor autônomo Desabilitada
Configurações padrão efetivas do controlador de domínio Habilitada
Configurações padrão efetivas do servidor membro Habilitada
Configurações padrão efetivas do GPO em computadores cliente Desabilitada

Considerações de segurança

Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação da contramedida.

Vulnerabilidade

Senhas que contêm apenas caracteres alfanuméricos são fáceis de descobrir com várias ferramentas disponíveis publicamente.

Contramedida

Definir a configuração de política das Senhas deve atender aos requisitos de complexidade como Habilitada e aconselhe os usuários a usar vários caracteres em suas senhas.

Quando combinada com um Comprimento de senha mínimo de 8, essa configuração de política garante que o número de possibilidades diferentes para uma única senha seja tão grande que é difícil (mas possível) que um ataque de força bruta seja bem-sucedido. (Se a configuração de política de comprimento mínimo de senha for aumentada, a quantidade média de tempo necessária para um ataque bem-sucedido também aumentará.)

Impacto potencial

Se a configuração padrão de complexidade de senha for mantida, mais chamadas de Suporte Técnico para contas bloqueadas poderão ocorrer porque os usuários podem não ser usados para senhas que contêm caracteres não alfabéticos ou podem ter problemas para inserir senhas que contenham caracteres acentuados ou símbolos em teclados com layouts diferentes. No entanto, todos os usuários devem ser capazes de seguir o requisito de complexidade com pouca dificuldade..

Se sua organização tiver requisitos de segurança mais complexos, você poderá criar uma versão personalizada do arquivo Passfilt.dll que permita o uso de regras de força de senha arbitrariamente complexas. Por exemplo, um filtro de senha personalizado pode exigir o uso de símbolos que não são de linha superior. (Símbolos de linha superior são os símbolos que exigem que você pressione e segure a tecla SHIFT e pressione qualquer uma das teclas na linha de número do teclado, de 1 a 9 e 0.) Um filtro de senha personalizado também pode executar uma verificação de dicionário para verificar se a senha proposta não contém palavras ou fragmentos de dicionário comuns.

O uso de combinações de caracteres de tecla ALT pode melhorar muito a complexidade de uma senha. No entanto, esses requisitos de senhas rígidos podem resultar em mais solicitações de Suporte Técnico. Como alternativa, sua organização pode considerar um requisito para que todas as senhas de administrador usem caracteres ALT no intervalo 0128–0159. (Caracteres ALT fora desse intervalo podem representar caracteres alfanuméricos padrão que não adicionarão mais complexidade à senha.)

Artigos relacionados