Ambos os sistemas Windows modernos (por exemplo, Windows Server 2008 e 2008 R2) e Active Directory, como os sistemas Linux e Solaris, permitem que você configure políticas de senha que determinam quão longas e complexas as senhas de seus usuários devem ser, fornecendo uma primeira linha de defesa para seus sistemas. Se seus sistemas Unix são autenticados no AD, este é o lugar para especificar todos os seus requisitos de senha. Se o Active Directory for apenas um dos muitos lugares onde as políticas de senha são configuradas, ainda é uma boa ideia garantir que boas senhas sejam usadas. Ter padrões de complexidade semelhantes em toda a empresa é uma boa estratégia, pois reforça a importância de boas senhas em mantendo seus sistemas seguros.

O Windows e o Active Directory permitem que você especifique vários parâmetros para impor a segurança da senha. Os valores padrão estão listados na tabela abaixo.

Policy Setting Default Setting Value============== ====================Enforce password history 24 daysMaximum password age 42 daysMinimum password age 1 dayMinimum password length 7Password must meet complexity requirements EnabledStore passwords using reversible encryption DisabledAccount lockout duration Not definedAccount lockout threshold 0Reset account lockout counter after Not definedEnforce user logon restrictions EnabledMaximum lifetime for service ticket 600 minutesMaximum lifetime for user ticket 10 hoursMaximum lifetime for user ticket renewal 7 daysMaximum tolerance for computer clock synchronization5 minutes

Histórico de senha – quantas senhas serão lembradas pelo sistema. Usando o padrão, nenhuma das 24 senhas anteriores pode ser reutilizada quando um usuário altera sua senha .

Duração máxima da senha – quanto tempo uma senha pode ser usada antes de ser alterada. Se alterada, normalmente é definida como algo como 90 dias. Isso significa que suas senhas devem ser alteradas em intervalos de alguns meses.

Idade mínima da senha – quanto tempo seus usuários devem esperar antes de poder usar nge uma senha novamente. Se seus usuários pudessem alterar suas senhas imediatamente e o sistema se lembrasse de apenas algumas das senhas anteriores, seria fácil para eles ressuscitar suas senhas atuais, essencialmente usando a mesma senha para sempre. Se você forçá-los a usar cada nova senha por alguns dias, a probabilidade de que eles voltem a usar a senha original é pequena. Se a espera fosse de dois dias e dez senhas fossem lembradas, demoraria 20 dias para voltar à senha original. A essa altura, até mesmo a mais inteligente das senhas provavelmente terá perdido seu apelo.

A desvantagem das políticas de duração mínima da senha é que seus usuários não conseguirão alterar suas senhas imediatamente, mesmo se eles acreditarem que as senhas foram comprometidas. Você deve ter isso em mente se escolher esta opção e garantir que uma linha direta esteja disponível para alterações de senha de emergência.

Requisitos de complexidade da senha – incorpora um número de requisitos que são configurados separadamente em sistemas Linux e Solaris. Se esta configuração for ativada – como é por padrão, as senhas devem ter pelo menos seis caracteres e devem conter caracteres de três dos seguintes: caracteres maiúsculos, caracteres minúsculos, dígitos (0-9), caracteres especiais (por exemplo,!, #, $) E caracteres Unicode. Além disso, a senha não deve conter mais de dois caracteres do nome de usuário (desde que o nome de usuário tenha três ou mais caracteres).

Comprimento mínimo da senha – quantos os caracteres devem ser incluídos nas senhas dos usuários. Embora o padrão seja 7, algo entre 8 e 12 é uma escolha melhor. É provável que seus usuários se recusem a lembrar de quatro caracteres adicionais, então esteja pronto para oferecer algumas sugestões sobre como tornar as senhas mais longas memoráveis, como adicionar alguns dígitos em cada extremidade, prefixar senhas com o aniversário de seu melhor amigo ( por exemplo, 0323) ou definir senhas como uma frase curta como “want2goHome!”. Lembre-os de que escrever suas senhas é sempre uma péssima ideia, mas escrever algo que os lembre de suas senhas pode ser OK, especialmente se eles não fizerem isso “Não deixe claro que é uma senha que eles estão tentando lembrar.

Duração do bloqueio da conta – quantos minutos uma conta bloqueada permanece bloqueada antes de ser desbloqueada. Se definida como 0, no entanto, a senha permanece bloqueada até que um administrador (alguém autorizado a fazer esse tipo de alterações) a desbloqueie. Essa configuração depende, no entanto, do limite de bloqueio de conta. Em outras palavras, se você não especificar que as contas serão bloqueadas após algum número de tentativas malsucedidas de login, não há significado em especificar por quanto tempo elas serão bloqueadas.

Limite de bloqueio de conta – o número de tentativas consecutivas de login com falha que farão com que uma conta seja bloqueada. Se definido como 0 (o padrão), as contas nunca serão bloqueadas.

A única desvantagem de a configuração do limite de bloqueio de conta permite que um usuário bloqueie a conta de outro usuário.

Redefinir o contador de bloqueio de conta após – quantos minutos devem decorrer antes que um contador de bloqueio seja redefinido para 0 (ou seja, a conta está desbloqueada). Isso pode variar de 1 minuto a 99.999. Deve ser menor ou igual à duração do bloqueio da conta.

Aplicar restrições de logon do usuário – se o Centro de distribuição de chaves Kerberos valida cada solicitação de um tíquete de sessão em relação à política de direitos do usuário em um determinado computador.

Vida útil máxima para o tíquete de serviço – tempo máximo que um tíquete de sessão pode ser usado. Isso significa que o sistema de autenticação subjacente ao Windows (Kerberos) deve revalidar uma conexão no intervalo especificado.

Vida útil máxima para o tíquete do usuário – tempo máximo que um tíquete de concessão de tíquete do usuário pode ser usado. Depois disso (o padrão é 10 horas) passou, deve ser renovado.

Vida útil máxima para renovação do tíquete do usuário – define o período de tempo dentro do qual um tíquete pode ser usado e renovado.

Tolerância máxima para sincronização do relógio do computador – define a diferença de tempo máxima permitida entre a hora do relógio do cliente e do controlador de domínio. Destina-se a prevenir os chamados “ataques de repetição”, nos quais uma transmissão de dados válida é maliciosa ou fraudulentamente repetida ou atrasada.

As configurações padrão para senhas no Windows e no Active Directory são bastante razoáveis, embora eu altere o comprimento mínimo da senha de 7 caracteres para algo maior. Embora os recursos de bloqueio tornem o sucesso de ataques de senha de força bruta altamente improvável – se isso for definido e não for por padrão, definir as expectativas dos usuários de que a senha deve ter mais de 8 caracteres provavelmente melhorará a segurança de outras contas que eles usam .