Sia i moderni sistemi Windows (ad esempio, Windows Server 2008 e 2008 R2) che Active Directory, come i sistemi Linux e Solaris, consentono di configurare i criteri delle password che determinano quanto lunghe e complesse devono essere le password dei tuoi utenti, fornendo una prima linea di difesa per i tuoi sistemi. Se i vostri sistemi Unix si autenticano in AD, allora questo è il posto per specificare tutti i vostri requisiti per la password. Se Active Directory è solo uno dei tanti luoghi in cui sono configurati i criteri per le password, è comunque una buona idea assicurarsi che vengano utilizzate password corrette. Avere standard di complessità simili in tutta l’azienda è una buona strategia in quanto rafforza l’importanza di password valide in mantenendo i tuoi sistemi protetti.

Windows e Active Directory ti consentono di specificare una serie di parametri per applicare la sicurezza della password. I valori predefiniti sono elencati nella tabella seguente.

Policy Setting Default Setting Value============== ====================Enforce password history 24 daysMaximum password age 42 daysMinimum password age 1 dayMinimum password length 7Password must meet complexity requirements EnabledStore passwords using reversible encryption DisabledAccount lockout duration Not definedAccount lockout threshold 0Reset account lockout counter after Not definedEnforce user logon restrictions EnabledMaximum lifetime for service ticket 600 minutesMaximum lifetime for user ticket 10 hoursMaximum lifetime for user ticket renewal 7 daysMaximum tolerance for computer clock synchronization5 minutes

Cronologia password: quante password verranno memorizzate dal sistema. Utilizzando l’impostazione predefinita, nessuna delle 24 password precedenti può essere riutilizzata quando un utente cambia la propria password .

Età massima della password: per quanto tempo una password può essere utilizzata prima che debba essere modificata. Se viene modificata, questa è in genere impostata su qualcosa come 90 giorni. Ciò significherebbe che le tue password devono essere cambiate ogni pochi mesi.

Età minima della password: quanto tempo gli utenti devono attendere prima di poterlo utilizzare nge di nuovo una password. Se gli utenti potessero cambiare le loro password immediatamente e il sistema ricordasse solo alcune delle password precedenti, sarebbe facile per loro resuscitare le loro password attuali, essenzialmente utilizzando la stessa password per sempre. Se li costringi a utilizzare ogni nuova password per un certo numero di giorni, la probabilità che tornino a utilizzare la password originale è scarsa. Se l’attesa fosse di due giorni e venissero ricordate dieci password, ci vorrebbero 20 giorni per tornare alla password originale. A quel punto, anche le password più intelligenti avranno probabilmente perso il loro fascino.

Lo svantaggio delle norme sull’età minima delle password è che i tuoi utenti non saranno in grado di cambiare le loro password subito anche se ritengono che le password siano state compromesse. Tienilo a mente se scegli questa opzione e assicurati che sia disponibile una hotline per modifiche di emergenza della password.

Requisiti di complessità della password: incorpora un numero di requisiti configurati separatamente sui sistemi Linux e Solaris. Se questa impostazione è abilitata, come per impostazione predefinita, le password devono contenere almeno sei caratteri e devono contenere tre dei seguenti caratteri: caratteri maiuscoli, caratteri minuscoli, cifre (0-9), caratteri speciali (ad es.!, #, $) E caratteri Unicode. Inoltre, la password non deve contenere più di due caratteri del nome utente (a condizione che il nome utente sia lungo tre o più caratteri).

Lunghezza minima della password – quanti i caratteri devono essere inclusi nelle password degli utenti. Mentre questo valore predefinito è 7, qualcosa tra 8 e 12 è una scelta migliore. È probabile che i tuoi utenti esitino a dover ricordare altri quattro caratteri, quindi sii pronto a offrire alcuni suggerimenti su come rendere memorabili le password più lunghe, ad esempio l’aggiunta di un paio di cifre a ciascuna estremità, anteponendo le password al compleanno del loro migliore amico ( ad esempio, 0323) o impostare le password in modo che siano una frase breve come “want2goHome!”. Ricorda loro che scrivere le loro password è sempre una pessima idea, ma scrivere qualcosa che ricordi loro le loro password potrebbe essere OK, specialmente se non lo fanno “Non rendere ovvio che” è una password che stanno cercando di ricordare.

Durata del blocco dell’account: quanti minuti un account bloccato rimane bloccato prima di essere sbloccato. Se impostata a 0, tuttavia, una password rimane bloccata fino a quando un amministratore (qualcuno autorizzato a fare questo tipo di modifiche) la sblocca. Questa impostazione dipende, tuttavia, dalla soglia di blocco dell’account. In altre parole, se non specifichi che gli account verranno bloccati dopo un certo numero di tentativi di accesso falliti, non ha importanza specificare per quanto tempo saranno bloccati.

Soglia di blocco dell’account: il numero di tentativi di accesso consecutivi non riusciti che causeranno il blocco di un account. Se impostato su 0 (impostazione predefinita), gli account non vengono mai bloccati.

L’unico inconveniente di l’impostazione della soglia di blocco dell’account è che consente a un utente di bloccare l’account di un altro utente.

Reimposta contatore di blocco dell’account dopo: quanti minuti devono trascorrere prima che un contatore di blocchi venga reimpostato su 0 (cioè, l’account è sbloccato). Questo può variare da 1 minuto a 99.999. Deve essere inferiore o uguale alla durata del blocco dell’account.

Applica restrizioni di accesso utente: se il Kerberos Key Distribution Center convalida ogni richiesta di un ticket di sessione rispetto alla politica dei diritti utente su un particolare computer.

Durata massima del ticket di servizio: tempo massimo in cui è possibile utilizzare un ticket di sessione. Ciò significa che il sistema di autenticazione alla base di Windows (Kerberos) deve riconvalidare una connessione all’intervallo specificato.

Durata massima del ticket utente: tempo massimo in cui può essere utilizzato il ticket di concessione del ticket di un utente. tempo (predefinito 10 ore) è trascorso, deve essere rinnovato.

Durata massima per il rinnovo del ticket utente: definisce il periodo di tempo entro il quale un ticket può essere utilizzato e rinnovato.

Tolleranza massima per la sincronizzazione dell’orologio del computer: definisce la differenza di tempo massima consentita tra l’ora dell’orologio del client e il controller di dominio. Ha lo scopo di prevenire i cosiddetti “attacchi replay” in cui una trasmissione di dati valida viene ripetuta o ritardata in modo dannoso o fraudolento.

Le impostazioni predefinite per le password su Windows e Active Directory sono abbastanza ragionevoli, anche se cambierei la lunghezza minima della password di 7 caratteri in qualcosa di più alto. Sebbene le funzionalità di blocco rendano altamente improbabile il successo degli attacchi con password di forza bruta, se questa impostazione è impostata e non è predefinita, è probabile che l’impostazione delle aspettative degli utenti che la password sia più lunga di 8 caratteri migliora la sicurezza degli altri account che utilizzano .