Zarówno nowoczesne systemy Windows (np. Windows Server 2008 i 2008 R2), jak i Active Directory, takie jak Linux i Solaris, pozwalają na konfigurację zasad haseł określających jak długie i złożone muszą być hasła użytkowników, zapewniając pierwszą linię obrony dla systemów. Jeśli twoje systemy Unix uwierzytelniają się w AD, to jest to miejsce, w którym możesz określić wszystkie twoje wymagania dotyczące hasła. Jeśli Active Directory jest tylko jednym z wielu miejsc, w których skonfigurowane są zasady haseł, nadal dobrze jest upewnić się, że używane są dobre hasła. Posiadanie podobnych standardów złożoności w całym przedsiębiorstwie jest dobrą strategią, ponieważ wzmacnia znaczenie dobrych haseł w dbanie o bezpieczeństwo systemów.

Windows i Active Directory umożliwiają określenie szeregu parametrów wymuszających bezpieczeństwo hasła. Wartości domyślne są wymienione w poniższej tabeli.

Policy Setting Default Setting Value============== ====================Enforce password history 24 daysMaximum password age 42 daysMinimum password age 1 dayMinimum password length 7Password must meet complexity requirements EnabledStore passwords using reversible encryption DisabledAccount lockout duration Not definedAccount lockout threshold 0Reset account lockout counter after Not definedEnforce user logon restrictions EnabledMaximum lifetime for service ticket 600 minutesMaximum lifetime for user ticket 10 hoursMaximum lifetime for user ticket renewal 7 daysMaximum tolerance for computer clock synchronization5 minutes

Historia haseł – ile haseł zostanie zapamiętanych przez system. Przy ustawieniu domyślnym żadne z poprzednich 24 haseł nie może być ponownie użyte, gdy użytkownik zmieni swoje hasło .

Maksymalny wiek hasła – jak długo hasło może być używane, zanim będzie trzeba je zmienić. Jeśli zostanie zmienione, jest to zwykle ustawione na około 90 dni. Oznacza to, że hasła muszą być zmieniane co kilka miesięcy.

Minimalny wiek hasła – jak długo użytkownicy muszą czekać, zanim będą mogli cha ponownie wprowadź hasło. Jeśli wy, użytkownicy moglibyście zmienić swoje hasła natychmiast, a system zapamiętałby tylko kilka z poprzednich haseł, byłoby im łatwo przywrócić swoje obecne hasła, zasadniczo używając tego samego hasła na zawsze. Jeśli zmusisz ich do używania każdego nowego hasła przez kilka dni, prawdopodobieństwo, że powrócą do korzystania z oryginalnego hasła, jest niewielkie. Gdyby oczekiwanie trwało dwa dni i zapamiętano by dziesięć haseł, przywrócenie pierwotnego hasła zajęłoby 20 dni. Do tego czasu nawet najsprytniejsze hasła prawdopodobnie stracą swój urok.

Wadą zasad dotyczących minimalnego wieku haseł jest to, że Twoi użytkownicy nie będą mogli zmienić swoich haseł od razu, nawet jeśli uważają, że hasła zostały naruszone. Należy o tym pamiętać, jeśli wybierzesz tę opcję i upewnij się, że dostępna jest infolinia umożliwiająca awaryjną zmianę hasła.

Wymagania dotyczące złożoności haseł – zawiera liczbę wymagań, które są konfigurowane osobno w systemach Linux i Solaris. Jeśli to ustawienie jest włączone – tak jak jest domyślnie, hasła muszą mieć co najmniej sześć znaków i muszą zawierać znaki z trzech z następujących: wielkie litery, małe litery, cyfry (0-9), znaki specjalne (np.!, #, $) I znaki Unicode. Ponadto hasło nie może zawierać więcej niż dwóch znaków z nazwy użytkownika (pod warunkiem, że nazwa użytkownika ma trzy lub więcej znaków).

Minimalna długość hasła – ile znaki muszą być zawarte w hasłach użytkowników. Chociaż domyślnie wynosi 7, lepszym wyborem jest od 8 do 12. Twoi użytkownicy prawdopodobnie nie będą musieli zapamiętać dodatkowych czterech znaków, więc przygotuj się na sugestie, jak uczynić dłuższe hasła niezapomnianymi, na przykład dodawanie kilku cyfr na każdym końcu, poprzedzanie haseł datą urodzin ich najlepszego przyjaciela ( np. 0323) lub ustawienie haseł jako krótkiej frazy, np. „want2goHome!”. Przypomnij im, że zapisywanie ich haseł jest zawsze bardzo złym pomysłem, ale zapisanie czegoś, co przypomina im o ich hasłach, może być w porządku, zwłaszcza jeśli nie „Nie pokazuj, że jest to hasło, które próbują zapamiętać.

Czas trwania blokady konta – ile minut zablokowane konta pozostają zablokowane, zanim zostaną odblokowane. Jeśli jednak jest ustawione na 0, hasło pozostaje zablokowane, dopóki administrator (osoba upoważniona do dokonywania tego rodzaju zmian) nie odblokuje go. To ustawienie jest jednak zależne od progu blokady konta. Innymi słowy, jeśli nie określisz, że konta będą blokowane po pewnej liczbie nieudanych prób logowania, nie ma znaczenia określanie, jak długo będą one blokowane.

Próg blokady konta – liczba kolejnych nieudanych prób logowania, które spowodują zablokowanie konta. Jeśli jest ustawiony na 0 (wartość domyślna), konta nigdy nie są blokowane.

Jedyną wadą ustawienie progu blokady konta umożliwia użytkownikowi zablokowanie konta innego użytkownika.

Zresetuj licznik blokady konta po – ile minut musi upłynąć, zanim licznik blokady zostanie zresetowany do 0 (czyli konto jest odblokowane). Może to wynosić od 1 minuty do 99 999. Musi być krótszy lub równy czasowi blokady konta.

Egzekwuj ograniczenia logowania użytkowników – czy Centrum dystrybucji kluczy Kerberos weryfikuje każde żądanie biletu sesji pod kątem zasad praw użytkownika na określonym komputerze.

Maksymalny czas życia biletu serwisowego – maksymalny czas, przez jaki bilet sesji może być używany. Oznacza to, że system uwierzytelniania będący podstawą systemu Windows (Kerberos) musi ponownie weryfikować połączenie w określonych odstępach czasu.

Maksymalny czas życia biletu użytkownika – maksymalny czas, przez jaki można wykorzystać bilet przyznania biletu użytkownika. Po tym minął (domyślnie 10 godzin), należy go odnowić.

Maksymalny czas odnowienia biletu użytkownika – określa okres, w którym bilet może być używany i odnawiany.

Maksymalna tolerancja dla synchronizacji zegara komputera – określa maksymalną dopuszczalną różnicę czasu między czasem na zegarze klienta a kontrolerem domeny. Ma to na celu zapobieganie tak zwanym „atakom typu„ replay ”, w których poprawna transmisja danych jest powtarzana lub opóźniana w sposób złośliwy lub oszukańczy.

Domyślne ustawienia haseł w systemie Windows i Active Directory są całkiem rozsądne, chociaż zmieniłbym minimalną 7-znakową długość hasła na wyższą. Chociaż funkcje blokowania sprawiają, że sukces ataków brute force na hasło jest bardzo mało prawdopodobny – jeśli jest to ustawione, a nie jest ustawione domyślnie, ustawienie oczekiwań użytkowników, że hasło powinno być dłuższe niż 8 znaków, prawdopodobnie poprawi bezpieczeństwo innych kont, z których korzystają .