Både moderne Windows-systemer (f.eks. Windows Server 2008 og 2008 R2) og Active Directory, som Linux- og Solaris-systemer, lar deg konfigurere passordpolicyer som bestemmer hvor lange og komplekse brukernes passord må være, og gir en første forsvarslinje for systemene dine. Hvis Unix-systemene dine godkjennes mot AD, er dette stedet å spesifisere alle passordkravene dine. Hvis Active Directory bare er ett av mange steder der passordpolitikk er konfigurert, er det fortsatt en god idé å sikre at det brukes gode passord. Å ha lignende kompleksitetsstandarder i hele virksomheten er en god strategi da det forsterker viktigheten av gode passord i holde systemene dine sikre.

Windows og Active Directory lar deg spesifisere et antall parametere for å håndheve passordsikkerhet. Standardverdiene er oppført i tabellen nedenfor.

Policy Setting Default Setting Value============== ====================Enforce password history 24 daysMaximum password age 42 daysMinimum password age 1 dayMinimum password length 7Password must meet complexity requirements EnabledStore passwords using reversible encryption DisabledAccount lockout duration Not definedAccount lockout threshold 0Reset account lockout counter after Not definedEnforce user logon restrictions EnabledMaximum lifetime for service ticket 600 minutesMaximum lifetime for user ticket 10 hoursMaximum lifetime for user ticket renewal 7 daysMaximum tolerance for computer clock synchronization5 minutes

Passordhistorikk – hvor mange passord som blir husket av systemet. Ved å bruke standardinnstillingen kan ingen av de 24 foregående passordene brukes på nytt når en bruker endrer passordet .

Maksimal passordalder – hvor lenge et passord kan brukes før det må endres. Hvis det endres, er dette vanligvis satt til omtrent 90 dager. Dette vil bety at passordene dine må endres hvert par måneder.

Minimum passordalder – hvor lenge brukerne må vente før de kan gå nge et passord igjen. Hvis du brukere kunne endre passordene sine umiddelbart, og systemet bare husket noen få av de forrige passordene, ville det være enkelt for dem å gjenopplive sine nåværende passord, og i hovedsak bruke det samme passordet for alltid. Hvis du tvinger dem til å bruke hvert nye passord i et antall dager, er sannsynligheten for at de kommer tilbake til å bruke det originale passordet. Hvis ventetiden var to dager og ti passord ville bli husket, ville det ta 20 dager å komme tilbake til det opprinnelige passordet. På den tiden vil selv de smarteste passordene sannsynligvis ha mistet appellen.

Ulempen med minimumspolicyer for passordalder er at brukerne ikke vil kunne endre passordene sine med en gang selv om de mener passordene er kompromittert. Du bør huske på dette hvis du velger dette alternativet og sørge for at en hotline er tilgjengelig for nødpassordendringer.

Krav til passordskompleksitet – inneholder et nummer av krav som er konfigurert separat på Linux- og Solaris-systemer. Hvis denne innstillingen er aktivert – som den er som standard, må passordene være på minst seks tegn og må inneholde tegn fra tre av følgende: store bokstaver, små bokstaver, sifre (0-9), spesialtegn (f.eks.!, #, $) Og unicode-tegn. I tillegg må passordet ikke inneholde mer enn to tegn fra brukernavnet (forutsatt at brukernavnet er tre eller flere tegn langt).

Minimum passordlengde – hvor mange tegn må være inkludert i brukernes passord. Mens dette er 7, er noe mellom 8 og 12 et bedre valg. Brukerne dine kommer sannsynligvis til å unngå å måtte huske ytterligere fire tegn, så vær klar til å komme med noen forslag til hvordan du kan gjøre lengre passord minneverdige, for eksempel å legge til et par sifre i hver ende, og forberede passord med bestevennens bursdag ( 0323) eller sette passord til en kort setning som «want2goHome!». Påminn dem om at det alltid er en veldig dårlig ide å skrive ned passordene, men å skrive ned noe som minner dem om passordene deres, kan være OK, spesielt hvis de ikke har det «t gjør det åpenbart at det er et passord som de prøver å huske.

Kontosperrevarighet – hvor mange minutter en utelåst konto forblir låst før den blir ulåst. Hvis den er satt til 0, forblir imidlertid passordet låst til en administrator (noen autorisert til å gjøre denne typen endringer) låser opp det. Denne innstillingen er imidlertid avhengig av kontosperren. Med andre ord, hvis du ikke spesifiserer at kontoer vil bli låst etter et antall mislykkede forsøk på å logge på, er det ingen betydning å spesifisere hvor lenge de skal være låst.

Kontolåsingsgrense – antall påfølgende mislykkede påloggingsforsøk som vil føre til at en konto låses. Hvis den er satt til 0 (standard), blir kontoer aldri låst.

Den eneste ulempen med innstillingen for sperring av konto er at den gjør det mulig for en bruker å låse ut en annen brukerkonto.

Tilbakestill kontosperre etter – hvor mange minutter må det gå før en lockout-teller tilbakestilles til 0 (dvs. at kontoen er ulåst). Dette kan variere fra 1 minutt til 99.999. Det må være mindre enn eller lik varigheten av kontosperren.

Håndhev begrensninger for brukerpålogging – om Kerberos Key Distribution Center validerer hver forespørsel om en øktbillett mot brukerrettighetspolitikken på en bestemt datamaskin.

Maksimal levetid for servicebillett – maksimal tid en øktbillett kan brukes. Dette betyr at autentiseringssystemet som ligger til grunn for Windows (Kerberos) må validere en tilkobling med det angitte intervallet.

Maksimal levetid for brukerbillett – maksimal tid som en brukers billett gir billett kan brukes. Etter det tid (standard 10 timer) har gått, må den fornyes.

Maksimal levetid for fornyelse av brukerbillett – definerer tidsperioden der en billett kan brukes til og fornyes.

Maksimal toleranse for datamaskinsurssynkronisering – definerer den maksimale tidsforskjellen som er tillatt mellom klokken på klokken og domenekontrolleren. Det er ment å forhindre det som kalles «replay-angrep» der en gyldig dataoverføring blir skadelig eller uredelig gjentatt eller forsinket.

Standardinnstillingene for passord på Windows og Active Directory er ganske rimelige, selv om jeg vil endre passordlengden på 7 tegn til noe høyere. Mens lockout-funksjonene gjør suksessen til brute force-passordangrep svært usannsynlig – hvis dette er angitt og det ikke er som standard, vil det sannsynligvis forbedre sikkerheten til andre kontoer de bruker, hvis brukerne forventer at passordet skal være lengre enn 8 tegn. .